En un descubrimiento que nos deja a todos con la boca abierta, un equipo de investigadores de IMDEA Networks y la Universidad Radboud de Nimega ha revelado que tanto Yandex como Meta, la empresa detrás de Facebook e Instagram, han estado espiando nuestras actividades en dispositivos Android. ¿Adivinas cómo? Utilizando un sistema escondido que se las arregla para rastrear nuestra navegación sin ni siquiera pedir permiso.
A través de un artículo compartido en GitHub, estos valientes investigadores han arrojado luz sobre una técnica conocida como ‘Local Mess’. Al parecer, esta estrategia permite a aplicaciones como Instagram y Facebook capturar información sobre lo que hacemos en línea, esquivando por completo los mecanismos de privacidad más básicos. Así es: ni el modo incógnito, ni las VPNs, ni eliminar cookies pueden salvarnos.
Un secreto muy bien guardado desde 2017
Pero eso no es todo. Desde 2017, Yandex ha estado utilizando este método para seguir nuestros pasos digitales, mientras que Meta decidió sumarse al festín en septiembre de 2024. Según datos del monitor BuiltWith, el script Meta Pixel está presente en más de 5,8 millones de sitios web. ¿Y qué hay del script Yandex Metrica? Se encuentra en unos 3 millones. ¡Impresionante!
No podemos ignorar las implicaciones serias que esto tiene para nuestra privacidad. Cuando visitamos una página web con alguno de estos scripts desde nuestro navegador móvil, la información sobre nuestra actividad vuela directamente hacia las aplicaciones nativas instaladas en nuestro dispositivo. ¡Así se puede saber incluso qué has hecho en modo incógnito!
A pesar del intento de Meta por tranquilizarnos asegurando que su script ya no envía datos a direcciones locales, debemos tener cuidado. Este método podría seguir siendo utilizado por otras empresas o hasta por ciberdelincuentes dispuestos a jugar sucio.
Los investigadores han hecho hincapié en la necesidad urgente de desarrollar soluciones a largo plazo para gestionar el acceso a esos puertos locales y proponen implementar alertas cuando se intente acceder a ellos. A fin de cuentas, nuestra seguridad digital no debería estar en manos ajenas.