“Localhost tracking”: el último gran abuso de Meta y Yandex que pone en jaque la privacidad digital en Android

Por /
Compartir en Pinterest Compartir en WhatsApp

Un método sofisticado para saltarse las barreras de privacidad

El reciente hallazgo de un nuevo método de rastreo, bautizado como “localhost tracking”, ha puesto en alerta a la comunidad de ciberseguridad y privacidad a nivel internacional. Investigadores de IMDEA Networks, KU Leuven y Radboud University han descubierto cómo gigantes como Meta (Facebook, Instagram) y Yandex han explotado una laguna en la arquitectura de Android para vincular la navegación web en el móvil con la identidad real del usuario, incluso si este navegaba en modo incógnito, empleaba VPN o eliminaba las cookies tras cada sesión.

¿Cómo funciona este rastreo cruzado web-app?

  1. Escucha en segundo plano: Las apps de Facebook, Instagram o Yandex, al estar abiertas en el móvil (aunque estén en segundo plano), abren puertos internos en localhost a la espera de recibir tráfico desde el propio dispositivo.
  2. Pixel y scripts en la web: Al visitar una web con Meta Pixel o Yandex Metrica, el script embebido utiliza técnicas avanzadas como WebRTC (con SDP Munging) para enviar cookies (_fbp en el caso de Meta) y otros identificadores directamente a la app instalada en el móvil.
  3. Vinculación y exfiltración: La app recibe esa información, la asocia con la cuenta real del usuario y la reenvía a los servidores de Meta o Yandex junto a otros identificadores persistentes.
  4. Sin consentimiento válido: Todo esto ocurre incluso si el usuario no ha iniciado sesión en el navegador, está en incógnito o ha denegado las cookies, saltándose la lógica habitual de protección de datos tanto a nivel de sistema operativo como de navegador.

Riesgos y vectores de abuso

  • Desanonimización total: La combinación de identificadores web efímeros (_fbp, AAID) con la identidad persistente de la app rompe la separación entre navegación anónima y cuentas reales.
  • Persistencia del tracking: Limpiar cookies, usar modos privados o VPN no evita este rastreo, ya que se realiza por canal local dentro del dispositivo.
  • Riesgo de abuso por terceros: Cualquier app maliciosa que escuche en los mismos puertos podría espiar el historial de navegación del usuario.
  • Impacto masivo: El 25% de las webs más populares integran estos scripts. Solo el navegador Brave y, en menor medida, DuckDuckGo bloquean esta técnica; Chrome y Firefox ya han desplegado o anunciado mitigaciones, pero millones de usuarios han estado expuestos.

Implicaciones legales y regulatorias

  • Incumplimiento del RGPD y DSA: Meta y Yandex enfrentan riesgos multimillonarios por saltarse los principios de minimización, consentimiento explícito y privacidad desde el diseño.
  • Advertencia a desarrolladores y empresas: Incluir estos scripts en webs o apps puede suponer corresponsabilidad en una infracción grave de la normativa europea.

¿Qué pueden hacer los usuarios y profesionales de la ciberseguridad?

Para usuarios avanzados:

  • Evitar apps de Meta y Yandex en Android o limitar su uso a través de webs y sistemas con políticas más estrictas (iOS, Brave).
  • Vigilar la actividad de red en segundo plano y cerrar completamente las apps sensibles.
  • Utilizar navegadores con bloqueo estricto de localhost y scripts de terceros.

Para profesionales de ciberseguridad:

  • Revisar políticas y contratos de proveedores de analítica y publicidad.
  • Auditar webs y apps corporativas en busca de scripts y SDKs de terceros que puedan exponer a los usuarios.
  • Educar y advertir sobre los riesgos de técnicas de rastreo avanzadas y la necesidad de controles proactivos.
  • Seguir y aplicar las actualizaciones de los navegadores para asegurar que las mitigaciones están activas.

Reflexión final

Este caso demuestra cómo los grandes actores tecnológicos pueden explotar los puntos ciegos de las plataformas y estándares actuales, y la importancia de una vigilancia activa tanto técnica como regulatoria. La privacidad, la transparencia y el control efectivo sobre los datos no pueden seguir siendo “opcional” para quienes desarrollan, integran o emplean soluciones digitales.

La lucha por una privacidad real en la era digital continúa, y requiere la implicación tanto de usuarios como de empresas y expertos.

Referencias: Noticias Messenger, Citizen8 y Local mess

Compartir en Pinterest Compartir en WhatsApp

Entradas relacionadas

Scroll al inicio