
Nueva investigación revela cómo las aplicaciones de Meta y Yandex eludieron la privacidad de Android, espiando a miles de millones. Aprende cómo funcionaba el seguimiento oculto y qué sigue.
Pixel de Meta | Sigue a los usuarios en 5.8 millones de sitios |
Usuarios Afectados | miles de millones de dispositivos Android en todo el mundo |
¿Modo Incógnito? | No seguro: el seguimiento persistió incluso en navegación privada |
Detención Inmediata | Meta detuvo la técnica tras su exposición el 3 de junio de 2025 |
Desplázate, da me gusta, navega—¿crees que tienes el control? Piensa de nuevo. Una investigación innovadora del Instituto IMDEA Networks ha descubierto un sorprendente punto ciego en la privacidad: las aplicaciones de Facebook e Instagram han estado rastreando clandestinamente lo que los usuarios de Android hacen en línea, sin importar sus configuraciones de privacidad, incluso cuando navegan en modo incógnito.
¿Cómo Funcionaba el Rastreador Oculto de Meta?
Imagina tu smartphone como una ciudad bulliciosa con torres de radio ocultas. Cada vez que instalas Facebook o Instagram, estas aplicaciones activan en silencio «escuchas» secretas—servicios en segundo plano que acechan en puertos de red especiales.
Cuando visitas un sitio web sembrado con el pixel de seguimiento de Meta (y 5.8 millones de sitios lo tienen), el JavaScript integrado accede a estos canales secretos. No importa si estás en modo incógnito o nunca has iniciado sesión en Facebook en tu navegador—tu sesión de navegación única y la identidad de tu dispositivo fluyen en silencio de regreso a la aplicación. La aplicación de Facebook o Instagram envía esta actividad web privada directamente a los servidores de Meta, ligándola directamente a tu perfil registrado.
¿Qué Hizo que Este Método Fuera Tan Peligroso?
Los rastreadores web tradicionales dependen de cookies, que puedes eliminar o bloquear. No este truco. Al explotar el sistema de permisos de Android, las aplicaciones de Meta eludieron por completo los controles del navegador y las configuraciones de privacidad. ¿Eliminar cookies? Inútil. ¿No iniciar sesión en tu navegador? Irrelevante. Tu actividad aún fluía en silencio hacia los bancos de datos de Facebook e Instagram.
En las pruebas de IMDEA en los 100,000 sitios web más populares, un sorprendente 78% de las páginas que usaron el pixel de Meta intentaron comunicarse a través de estos canales locales secretos—sin nunca preguntarte.
Q: ¿No Me Protegieron las Herramientas de Privacidad de Android?
No. Porque este método explotó los sockets de red a nivel del sistema operativo, los sistemas de privacidad de Android simplemente no lo vieron venir. Incluso potentes funciones como el modo incógnito o la protección contra rastreo eran impotentes.
¿Qué Tan Sofisticada Era la Estrategia de Yandex?
Sin querer ser superado, el gigante ruso Yandex elevó la apuesta. Sus aplicaciones de Mapas, Navegador y Búsqueda utilizaron un sistema de estilo “comando y control” con su SDK AppMetrica. Después de instalar las aplicaciones de Yandex, la vigilancia se retrasaba—algunas veces por días—para evadir mejor la detección. Los investigadores compararon la flexibilidad del sistema con malware, con las aplicaciones obteniendo instrucciones de seguimiento directamente de los servidores de Yandex y vigilando miles de millones de usuarios a través de 3 millones de sitios web rastreados.
Aún peor: Yandex utilizó comunicaciones no encriptadas, lo que significa que cualquier aplicación maliciosa podía escuchar y robar un registro en tiempo real de tu actividad web.
Q: ¿Cómo Podrían las Aplicaciones Maliciosas Agravar las Cosas?
Si Meta y Yandex pueden escuchar, también puede hacerlo el malware. El equipo de IMDEA construyó una aplicación de prueba de concepto que explotaba los mismos puertos. Resultado: cualquier aplicación maliciosa podría potencialmente robar todo tu historial de navegación—mucho más de lo que los usuarios preocupados por la privacidad esperan.
¿Cómo Respondieron los Propietarios de Sitios Web?
Los operadores de sitios web quedaron sorprendidos. Los foros estaban llenos de confusión y frustración mientras los desarrolladores detectaban conexiones locales inexplicables de la biblioteca Pixel de Meta—pero no encontraban documentación oficial o soporte de Meta o Yandex.
Q: ¿Qué Están Haciendo Ahora las Plataformas y Navegadores?
La reacción fue rápida. Después de que la investigación se hizo pública, la tubería de seguimiento de Meta se cerró abruptamente en todo el mundo el 3 de junio de 2025. La versión 137 de Google Chrome ahora bloquea los puertos y desactiva el truco (llamado “menguado de SDP”) que ocultaba estas conexiones. Otros fabricantes de navegadores están compitiendo rápidamente para parchear lagunas similares.
Sin embargo, la debilidad subyacente permanece: los sistemas operativos móviles actuales ofrecen poco control o auditoría de las conexiones localhost, dando a los rastreadores sofisticados y posibles atacantes una puerta abierta.
¿Cómo Pueden los Usuarios Protegerse en el Futuro?
Por ahora, ¿la única defensa segura? Desinstala Facebook, Instagram y las principales aplicaciones de Yandex. Como enfatiza la investigación, la protección duradera exige nuevas estrategias de sandboxing, reglas de plataforma más estrictas y una mejor evaluación de aplicaciones en las tiendas.
No dejes que la vigilancia secreta decida cómo se cuenta tu historia—exige una privacidad más fuerte ahora.
—
Actúa: Lista de Verificación de Privacidad para 2025
- Actualiza tu navegador a la última versión (se recomienda Chrome 137+)
- Reconsidera usar las aplicaciones de Facebook, Instagram y Yandex en tus dispositivos Android
- Revisa regularmente los permisos de las aplicaciones y elimina las que no confíes
- Monitorea fuentes de noticias de privacidad líderes y exige responsabilidad a las grandes tecnológicas
- Apoya el periodismo independiente en ciencia y tecnología para mantenerte informado
Mantente alerta, mantente seguro—y sigue luchando por la privacidad digital que mereces.