Meta rastreó el historial web de usuarios Android sin su consentimiento, incluso en modo incógnito

Una reciente investigación académica reveló que Meta, la empresa matriz de Facebook e Instagram, implementó un sistema de rastreo que vinculaba la identidad real de los usuarios de dispositivos Android con su historial de navegación, incluso cuando utilizaban modo incógnito o VPN para proteger su privacidad.

Meta vulneró la privacidad digital desde septiembre de 2024

El método, que comenzó a aplicarse desde septiembre de 2024, estaba integrado en las versiones móviles de las aplicaciones de Facebook e Instagram. A través de una conexión entre estas apps y los sitios web que contenían el Meta Pixel, la empresa logró recopilar información detallada sobre la navegación de los usuarios sin requerir autorización explícita.

El descubrimiento fue realizado por Günes Acar, profesor de la Universidad Radboud, y Narseo Vallina-Rodríguez, investigador en IMDEA Networks. Detectaron una comunicación inusual entre sitios web y un puerto local del dispositivo, lo que permitió a Meta asociar cookies con usuarios autenticados en sus aplicaciones, eludiendo las protecciones habituales del navegador.

Cómo funcionaba el sistema de rastreo de Meta

Este mecanismo se activaba solo cuando coincidían ciertas versiones de las apps de Meta y del navegador. Al visitar una página con Meta Pixel, el sistema generaba una cookie que era enviada a los servidores de Meta, enlazada con la identidad del usuario gracias a la sesión activa en Facebook o Instagram.

A diferencia de otros métodos de seguimiento, no se necesitaba que el usuario completara formularios o ingresara su nombre: el vínculo con la cuenta ya autenticada bastaba para identificar la actividad. Incluso en modo incógnito o mediante VPN, el rastreo seguía activo si el usuario tenía abierta alguna app de Meta en su dispositivo.

Reacción de Meta y respuesta de Google

Tras la publicación del informe, Meta desactivó el sistema de rastreo y aseguró estar trabajando con Google para “aclarar un posible malentendido” sobre el uso de sus políticas. Google, por su parte, reconoció la gravedad del hallazgo y confirmó que la práctica vulneraba principios básicos de seguridad y privacidad en Android.

Además, se informó que otros navegadores afectados fueron Firefox, Edge y DuckDuckGo en sus versiones para Android. Google ya inició una investigación independiente y está tomando medidas para evitar que este tipo de rastreo vuelva a ocurrir.