Creías estar navegando en incógnito y borrando cookies en tu móvil Android. Meta veía todo lo que hacías igualmente Entrelineas

Creías estar navegando en incógnito y borrando cookies en tu móvil Android. Meta veía todo lo que hacías igualmente. Noticias en tiempo real 05 de Junio, 2025 18:30

Miles de millones de usuarios han estado expuestos a un nuevo sistema de rastreo y espionaje masivo que han usado tanto Meta y Yandex. Ambas empresas han usado una técnica que aprovechaba aplicaciones nativas como Facebook o Instagram para luego monitorizar todo lo que hacíamos con nuestros navegadores móviles. Es una gota más de un vaso ya absolutamente colmado: el de los ataques a nuestra privacidad.

Qué ha pasado. Un grupo de investigadores de la agencia IMDEA Networks y la Radboud Universiteit de Países Bajos, liderados por los profesores Gunes Acar y Narseo Vallina-Rodríguez, publicaron ayer un extenso artículo técnico. En él desvelaban la técnica que han bautizado como ‘Local Mess’ (‘Lío Local’) y que Meta ha estado usando desde septiembre de 2024 y Yandex mucho antes, desde 2017.

Qué hace ‘Local Mess’. Nos centraremos en Meta y sus aplicaciones, aunque el método es análogo en Yandex. Los usuarios de Android que hagan uso de aplicaciones como Facebook o Instagram podían estar expuestos, porque esas aplicaciones «escuchaban» lo que pasaba en los navegadores instalados en nuestros móviles haciendo uso de puertos locales (de ahí lo de ‘Local Mess’) con el objetivo de rastrear y monitorizar todo lo que hacíamos en nuestros navegadores.

El usuario no se enteraba de nada. El método permitía que esas aplicaciones lograran recibir metadatos, cookies y comandos que se ejecutaban en los navegadores. El código JavaScript de Meta, llamado Meta Pixel, se cargaba de forma silenciosa y sin avisar como una especie de complemento de los navegadores móviles, y se conectaba a apps Como Facebook o Instagram.

Desanonimizando a los usuarios. Como explican estos investigadores, el método permitía acceder a los identificadores de dispositivo que se usan para los sistemas publicitarios, llamados Android Advertising ID (AAID), y eso hacía que fuera posible asociar todo lo que hacía el usuario a una identidad real (un perfil de Facebook o Instagram). El resultado: lo que hacíamos en el navegador ya no era anónimo ni privado.

Ni Modo Incógnito, ni borrar cookies ni nada. Este método «web-to-app» elude sistemas que teóricamente deberían proteger este tipo de rastreo. Así, ni borrar las cookies, ni navegar en modo incógnito funcionaba a la hora de intentar escapar de ese rastreo. De hecho, el método «abre la puerta a que aplicaciones potencialmente maliciosas espíen la actividad web de los usuarios», explican en el documento.

Explotando nuestro «localhost». Los scripts de Meta y Yandex son ligeramente distintos, pero ambos hacen un uso indebido del acceso no autorizado a los sockets de nuestro localhost, el nombre reservado que tiene nuestro dispositivo en la red local y que siempre es la dirección IP 127.0.0.1 (en IPv4). El sistema operativo Android permite a cualquier aplicación instalada con el permiso INTERNET abrir un socket de escucha en la interfaz loopback (127.0.0.1). Los navegadores que se ejecutan en el mismo dispositivo también acceden a esta interfaz sin el consentimiento del usuario o la mediación de la plataforma. Esto permite que un código JavaScript incrustado en páginas web se comunique con aplicaciones nativas de Android y comparta identificadores y actividad de navegación.

Millones de sitios web afectados. Para que el método funcionara Meta aprovechaba su cookie _fbp, muy extendida en sitios web que hacen uso de publicidad de esta plataforma. Según BuiltWith, una web que permite monitorizar la adopción de distintas tecnologías, ese Meta Pixel está embebido en más de 5,8 millones de sitios web entre los que están Xataka. Hay un buscador en la parte final del estudio que permite saber si un sitio web estaba expuesto y la actividad en él podía quedar registrada por estos scripts.

Websites App Id SharingEsquema del funcionamiento del ataque. Fuente: Local Mess.

Teóricamente, solo en Android. Los investigadores revelan que sólo lograron obtener pruebas empíricas de esta técnica en móviles Android. No han observado tal problema en navegadores en iOS o en las aplicaciones que evaluaron, aunque señalan que técnicamente lograr hacer algo así en los iPhones es factible.

Los navegadores se protegen. Los responsables del descubrimiento han seguido una política de comunicación responsable de vulnerabilidades y se han puesto en contacto con varios desarrolladores de navegadores. Chrome ya tiene preparado el parche, el de Firefox está en desarrollo —pero parece no estar expuesto al problema en el caso de Meta—, DuckDuckGo lo ha resuelto ya y Brave no estaba afectado al usar una lista de bloqueo y al requerir permiso explícito dle usuario para las comunicaciones con el localhost. No hay información sobre el progreso del parche en Microsoft Edge, que sí estaba afectado.

Y Meta ha desactivado esa opción sin más. Aunque los navegadores hayan tomado medidas, estas llegan tarde. No porque no haya solución o el código se haya modificado, sino porque Meta ha decidido dejar de usarlo sin decir nada. Ayer el script Meta Pixel dejó de enviar paquetes o de realizar peticiones a localhost. El código responsable de enviar esa cookie _fbp, señalan en una actualización en este informe, ha sido casi completamente eliminado.

¿Por qué Meta hizo esto? Hay una hipótesis sobre la puesta en marcha de esta técnica por parte de Meta: podría deberse a cómo Google tenía la intención de librarse de las cookies de terceros en Chrome en algún momento en 2024. Eso hubiera afectado a empresas como Meta, que quizás habría reaccionado tratando de recabar esa información con esta técnica para poder tener un plan B si las cookies desaparecían.

Qué dice Meta. En Xataka nos hemos puesto en contacto con los responsables de Meta en España, y actualizaremos esta información si recibimos respuesta. En The Register indican que tras ponerse en contacto con la compañía, Meta ha indicado que :

«Estamos en conversaciones con Google para solucionar un posible error de comunicación en relación con la aplicación de sus políticas. Al ser conscientes de las preocupaciones, hemos decidido poner en pausa la función mientras trabajamos con Google para resolver el problema».

Qué dice Yandex. La empresa rusa sí ha realizado comentarios sobre el problema. En declaraciones a Android Authority, explican lo siguiente:

«Yandex cumple estrictamente las normas de protección de datos y no desanonimiza los datos de los usuarios. La función en cuestión no recoge ninguna información sensible y su único objetivo es mejorar la personalización de nuestras aplicaciones. Tras examinar los problemas planteados, hemos decidido dejar de utilizarla y estamos en proceso de eliminarla de nuestras aplicaciones. También estamos en contacto con Google para garantizar el pleno cumplimiento de las políticas de su tienda de aplicaciones».


Compartir en:
   

 

 

Presenta Corregidora denuncia ante Fiscalía por presunto maltrato animal. 15:44

    El Gobierno Municipal de Corregidora, a través del Instituto Municipal del Cuidado Animal (IMCA), presentó una denuncia formal ante la Fiscalía General del Estado en contra de un paseador de perros identificado como Joaquín N, por presunto maltrato animal en la colonia Vista Real. La denuncia fue interpuesta el 27 de junio por [&#

Plaza de Ármas

Fiscalía de NY retira cargos contra Ovidio Guzmán.15:46

‘El Ratón’, dijo del ‘El Chapo’ Guzmán, detenido en una prisión en Chicago, informó a la Fiscalía federal de Nueva York que se declarará culpable en esa jurisdicción, tras lo cual Nueva York cerró su caso.

Editorial Aristegui Noticias

Los mejores MEMES de la victoria del Real Madrid sobre Juventus en el Mundial de Clubes. 15:50

Los mejores MEMES de la victoria del Real Madrid sobre Juventus en el Mundial de Clubes El conjunto Merengue avanza sin problemas a los Cuartos de Final del Mundial de Clubes fvillalobosMar, 01/07/2025 - 15:32

Record

¿Para qué sirve un ventilador de refrigeración?.

¿Sabías que uno de los componentes más importantes para que tu maquinaria pesada funcione correctamente es el ventilador del motor? En este artículo te vamos a contar qué es un ventilador de enfriamiento, qué tipos existen y por qué es tan clave para que tu equipo no se sobrecaliente y trabaje a su máximo rendimiento.

Lado.mx

¡Impactante! Ingresos de la minería en la nube de Bow Miner revelados: XRP gana $20,000 al día, ETH gana $35,000 al día ¡y BTC es aún más sorprendente!.

Despídete de la minería tradicional y da la bienvenida a la nueva era de la riqueza inteligente. Imagina estar recostado en una silla de playa, bebiendo una bebida helada, mientras tus activos criptográficos generan ingresos para ti las 24 horas del día.

Lado.mx

Pasto sintético: limpieza, cuidado y consejos clave.

El pasto sintético es una solución práctica, estética y de bajo mantenimiento para múltiples espacios: jardines, terrazas, áreas infantiles, canchas deportivas e incluso interiores.

Lado.mx

SUSAN SARANDON DEBUTARÁ EN EL TEATRO BRITÁNICO. 13:44

La actriz estadounidense Susan Sarandon hará su debut en el teatro británico el próximo 23 de septiembre al protagonizar la obra Mary Page Marlowe en el prestigioso Old Vic Theatre de Londres. La puesta en escena, escrita por Tracy Letts y dirigida por Matthew Warchus, estará en cartelera hasta el 1 de noviembre.The post SUSAN SARANDON DEBUTAR

Sol Yucatán

Se suman al IMSS 81hospitales y 2 mil unidades médicas rurales. 14:43

Sheinbaum: Hospitales y clínicas del programa IMSS-Coplamar al IMSS. Beneficia a 8.4 millones sin seguridad y 2.4 millones de derechohabientes Regeneración, 1 de julio de […]La entrada Se suman al IMSS 81hospitales y 2 mil unidades médicas rurales se publicó primero en RegeneraciónMX.

Regeneracion.mx

El dólar sufre su peor semestre desde 1973. 20:45

Al cierre de los mercados financieros este lunes, el dólar estadounidense registró una pérdida acumulada de 10.8% en el primer semestre del año, marcando su peor desempeño semestral desde 1973, …El cargo El dólar sufre su peor semestre desde 1973 apareció primero en Tribuna Noticias.

Tribuna Noticias

jurassic world rebirth

Cómo un huracán y un animatrónico descontrolado marcaron la filmación de “Jurassic Park”. 14:20

Durante el rodaje de la película estrenada en 1993, el equipo enfrentó condiciones extremas que pusieron en riesgo la producción, destacando incidentes como un huracán y el peligroso comportamiento del icónico animatrónico del T-Rex, reveló Sensacine

Infobae

¿Recupera la esencia de Spielberg? Jurassic World Rebirth llega a los cines de México. 16:10

La nueva secuela del clásico noventero ya se estrenó en nuestro país

Infobae

Bryce Dallas Howard da la bienvenida a Scarlett Johansson en "Jurassic World Rebirth". 16:50

Bryce Dallas Howard envió un alentador correo a Scarlett Johansson antes de su debut en "Jurassic World Rebirth"

El Diario de Sonora

mexico vs honduras

¿Dónde ver EN VIVO el partido México vs Honduras?. 13:30

Por si te interesa, te decimos dónde y a qué hora ver en vivo el juego de la competencia de la Concacaf

El Informador

¡Vasco histórico! Se cumplen 24 años del debut de Javier Aguirre con la Selección Mexicana. 15:30

¡Vasco histórico! Se cumplen 24 años del debut de Javier Aguirre con la Selección Mexicana El1 de julio del 2001 Javier Aguirre tomó la Selección Mexicana por primera vez tras la salida del "Ojitos" Meza molveraMar, 01/07/2025 - 14:47

Record

México vs Honduras: fecha, hora y dónde ver la Semifinal de la Copa Oro 2025. 16:40

La Selección Mexicana buscará su pase a la Final de la Copa Oro 2025 cuando se enfrente este miércoles 2 de julio a su similar de Honduras en el Levi’s Stadium de Santa Clara, California. El partido, que arrancará a las 8:00 de la noche, llega tras una serie de altibajos para el equipo dirigido por Javier Aguirre.El Tri viene de vencer 2-0 a

Vanguardia.com.mx

mazda cx 5 2026

Fallece joven prensado tras volcadura en Av. Las Torres, Toluca. 27 de Junio, 2025 12:36

Un joven de 27 años identificado como Axel perdió la vida la noche del pasado jueves tras una volcadura ocurrida en el paso a desnivel de Avenida Las Torres, casi en el cruce con Paseo Colón, en la colonia Isidro Fabela Segunda Sección, en Toluca. En el accidente estuvieron involucrados dos vehículos, un Mazda gris […]La entrada Fallece

Así Sucede

Historias que inspiran: 3 consejos de EXATEC para la vida profesional. 27 de Junio, 2025 17:00

Historias que inspiran: 3 consejos de EXATEC para la vida profesionaljguillermo.solorioVie, 06/27/2025 - 12:59 Read time: 5 mins Ariel Moutsatsos, Kirén Miret y Miguel Barbeyto compartieron en EXATEC Talks las experiencias que han marcado su camino profesional Con el objetivo de compartir su trayecto

Conecta.tec.mx

Niña de 8 años resulta herida en choque presuntamente causado por su madre en Saltillo. 27 de Junio, 2025 21:00

Una niña de apenas ocho años de edad resultó malherida en un accidente automovilístico registrado la tarde de este jueves frente a la colonia El Toreo, en Saltillo. El percance, según las primeras investigaciones, habría sido provocado por la madre de la menor, quien manejaba uno de los vehículos involucrados.De acuerdo con el informe prelim

Vanguardia.com.mx

La información agregada y la responsabilidad de esta, pertenece a los sitios que lo publican. Lado.mx solo se encarga de publicarla.