La privacidad digital vuelve a estar en el centro de la polémica: una investigación internacional reciente ha revelado un método bastante sofisticado —y lo que es peor, oculto— mediante el cual Meta (la empresa matriz de Facebook, WhatsApp e Instagram) ha estado rastreando sin consentimiento la navegación web de millones de usuarios de Android.

Ni el ‘modo incógnito’, ni borrar cookies, ni siquiera usar una VPN fueron suficientes para evitarlo. ¿Cómo ha sido esto posible?

El descubrimiento

Todo comenzó con un mero ejercicio académico. Günes Acar, profesor en la Universidad Radboud (Países Bajos), detectó conexiones inusuales con puertos locales al analizar rastreadores en la web de su universidad.

Lo que parecía un caso aislado se convirtió en un descubrimiento de gran calado cuando, tras contactar con investigadores de otras universidades europeas, descubrieron que las aplicaciones móviles de Meta (Facebook e Instagram), y también de la rusa Yandex, utilizaban un sistema denominado ‘Local Mess’, en el que las apps instaladas en el propio dispositivo Android escuchaban conexiones desde páginas web visitadas, permitiendo así vincular el historial de navegación con la identidad del usuario.

¿Cómo funcionaba el rastreo?

El truco estaba en el uso de puertos locales: en Android, cualquier aplicación que tenga permiso para usar Internet (como Facebook, Instagram, etc.) puede abrir uno de esos puertos y así quedarse «escuchando» en silencio, esperando que alguna app del móvil intente conectarse con el exterior.

Por otra parte, muchas webs tienen integrado un pequeño código invisible llamado ‘Meta Pixel’, que normalmente se usa para saber cuántas personas visitan la página o hacen clic en un botón. Y aquí viene la trampa: cuando navegabas en una web desde tu teléfono móvil, ese ‘Meta Pixel’ no solo interactuaba con Internet…

…sino que intentaba conectar también con las apps de Meta (Facebook o Instagram) a través de los citados puertos locales del móvil, lo que le permitía capturar:

• URLs visitadas.
• Acciones dentro de las webs (búsquedas, clics, compras).
• Cookies de sesión.
• Identificadores persistentes, como el Android Advertising ID (AAID).

De esta forma, Meta podía enterarse de qué páginas visitabas, qué hacías en ellas e incluso asociar esa información contigo si tenías la sesión iniciada en la app. Y todo esto quedaba asociado automáticamente con la cuenta del usuario en Facebook o Instagram.

La escala del problema

Se estima que Meta Pixel está presente en más de 5,8 millones de páginas web y su equivalente ruso, Yandex Metrica, en otros 3 millones. Esto significa que una porción enorme de la navegación móvil global ha podido ser monitorizada sin que los usuarios fueran conscientes.

Además, este comportamiento no fue comunicado ni a los usuarios ni a los administradores de las webs donde se integraban estos píxeles, lo que plantea serias dudas legales sobre el cumplimiento del Reglamento General de Protección de Datos (RGPD) en la Unión Europea.

¿Por qué lo hizo Meta?

¿Además de porque es una compañía con una largo historial de usar sin complejos nuestros datos privados a nuestras espaldas para ganar dinero? Bueno, pues una hipótesis que plantean los investigadores es que esta técnica podría haber sido una respuesta a la eliminación progresiva de las cookies de terceros por parte de Google en Chrome, originalmente prevista para 2024 (pero pospuesta primero, y cancelada recientemente).

Así, al no poder rastrear usuarios por métodos tradicionales, Meta habría optado por esta solución más agresiva y opaca para mantener su capacidad de seguimiento.

Reacciones y consecuencias

Al salir a la luz este sistema en junio de 2025, Meta ha desactivado la función inmediatamente y sin dar las debidas explicaciones públicas, aunque alegando que estaban en contacto con Google para «resolver un posible malentendido sobre sus políticas». Por su parte, Yandex también ha reconocido que lleva usando este método desde 2017, aunque afirma que no recolectaban datos sensibles y que ya están desactivando esta funcionalidad.

Por su parte, varios desarrolladores de navegadores móviles como Google, Mozilla, DuckDuckGo y Brave están trabajando en parches para impedir el acceso a puertos locales desde los mismos. Brave, por ejemplo, ya estaba protegido gracias a una política más estricta de permisos.

¿Qué podemos hacer como usuarios?

Mientras se fortalecen los parches en navegadores y se discute la legalidad del caso, las recomendaciones para proteger tu privacidad digital siguen vigentes:

• Limita los permisos de tus aplicaciones en Android.
• Evita usar apps de Meta si no es imprescindible.
• Valora la posibilidad de usar navegadores centrados en la privacidad, como Brave.
• Utiliza herramientas de bloqueo de rastreadores.
• Revisa qué webs usan Meta Pixel para evitarlas (los investigadores han creado incluso un buscador para ello).

Imagen | Marcos Merino mediante IA

En Genbeta | Una nueva vulnerabilidad de Facebook permite a los atacantes saber qué perfil de usuario está vinculado a una dirección de email 

–
La noticia

Las apps de Facebook e Instagram han estado espiando tu navegación web en Android, incluso si tomabas medidas como el uso de VPN

fue publicada originalmente en

Genbeta

por
Marcos Merino

.