{"id":135400,"date":"2025-06-03T13:53:15","date_gmt":"2025-06-03T12:53:15","guid":{"rendered":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/?p=135400"},"modified":"2025-06-03T13:54:15","modified_gmt":"2025-06-03T12:54:15","slug":"una-investigacion-codirigida-por-imdea-networks-descubre-un-abuso-de-la-privacidad-que-involucra-a-meta-y-yandex-al-conectar-identificadores-persistentes-con-historiales-de-navegacion","status":"publish","type":"post","link":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/2025\/06\/03\/135400","title":{"rendered":"Una investigaci\u00f3n codirigida por IMDEA Networks descubre un abuso de la privacidad que involucra a Meta y Yandex al conectar identificadores persistentes con historiales de navegaci\u00f3n"},"content":{"rendered":"<p>Una colaboraci\u00f3n internacional de investigaci\u00f3n entre el grupo de An\u00e1lisis de Internet de IMDEA Networks, dirigido por Narseo Vallina-Rodr\u00edguez, el Prof. Gunes Acar (Universidad de Radboud, Pa\u00edses Bajos) y Tim Vlummens (Universidad Cat\u00f3lica de Lovaina, B\u00e9lgica), ha descubierto recientemente un posible abuso de la privacidad que involucra a Meta y al gigante tecnol\u00f3gico ruso Yandex. Descubrieron que las aplicaciones nativas de Android, incluyendo Facebook, Instagram y varias aplicaciones de Yandex como Maps, Navi, Browser y Search, escuchan silenciosamente en puertos locales fijos de dispositivos m\u00f3viles para desanonimizar los h\u00e1bitos de navegaci\u00f3n de las personas usuarias sin su consentimiento.<\/p>\n<p>Al integrar c\u00f3digo de seguimiento en millones de sitios web, Pixel de Meta y Yandex Metrica han podido mapear los h\u00e1bitos de navegaci\u00f3n de los usuarios\/as de Android con sus identidades persistentes (es decir, con el titular de la cuenta conectado). Este m\u00e9todo elude las protecciones de privacidad que ofrecen los controles de permisos de Android e incluso el modo inc\u00f3gnito, lo que afecta a los principales navegadores de Android. El equipo internacional de investigaci\u00f3n ha informado del problema a varios proveedores de navegadores, quienes trabajan activamente en medidas para limitar este tipo de abuso. Por ejemplo, la mitigaci\u00f3n de Chrome est\u00e1 prevista que entre en vigor muy pronto.<\/p>\n<p>Estas empresas de rastreo llevan mucho tiempo realizando esta evasi\u00f3n: desde 2017 en el caso de Yandex, y desde septiembre de 2024 en el de Meta. El n\u00famero de personas afectadas por este abuso es elevado, dado que se estima que Meta Pixel y Yandex Metrica est\u00e1n instaladas en 5,8 millones y 3 millones de sitios web, respectivamente. Cabe destacar tambi\u00e9n que solo se han observado pruebas de esta pr\u00e1ctica de rastreo en Android.<\/p>\n<h2>El procedimiento de MetaPixel y Yandex Metrica<\/h2>\n<p>Bajo el modelo de permisos del sistema operativo Android, cualquier aplicaci\u00f3n que declare el permiso INTERNET puede crear y ejecutar f\u00e1cilmente en segundo plano un servidor web local dentro de la aplicaci\u00f3n, utilizando sockets TCP (HTTP) o UDP (WebRTC). En el contexto web, la mayor\u00eda de los navegadores modernos ofrecen compatibilidad program\u00e1tica con c\u00f3digo JavaScript para enviar solicitudes HTTP o mensajes WebSocket al host local (127.0.0.1) o API WebRTC para enviar mensajes a un servidor de escucha.<\/p>\n<div id=\"attachment_28739\" class=\"wp-caption aligncenter\">\n<p><img decoding=\"async\" class=\"wp-image-28739 size-large\" src=\"https:\/\/networks.imdea.org\/wp-content\/uploads\/2025\/06\/media-file-localhost-overview-1024x361.jpeg\" alt=\"\" width=\"900\" height=\"317\" aria-describedby=\"caption-attachment-28739\"><\/p>\n<p id=\"caption-attachment-28739\" class=\"wp-caption-text\">Diagrama general que representa el intercambio de identificadores entre los rastreadores web que se ejecutan en el contexto del navegador y las aplicaciones nativas de Android que controlan y generan identificaciones persistentes mediante sockets de host local.<\/p>\n<\/div>\n<p>\u201cLo interesante aqu\u00ed es d\u00f3nde se produce la conexi\u00f3n y c\u00f3mo permite a estos rastreadores desanonimizar el tr\u00e1fico web m\u00f3vil de los usuarios. En el caso del Pixel de Meta, utiliza canales locales para compartir identificadores de navegador mediante WebRTC con sus aplicaciones nativas, como Facebook o Instagram. Los datos se vinculan a la cuenta del usuario que ha iniciado sesi\u00f3n y la aplicaci\u00f3n los retransmite silenciosamente a los servidores de Meta. Yandex adopta una estrategia m\u00e1s pasiva, pero igualmente invasiva: su SDK AppMetrica, integrado en las aplicaciones de Yandex, escucha en los puertos locales, captura datos de seguimiento web entrantes, los agrega con identificadores a nivel m\u00f3vil, como el ID de publicidad de Android, y env\u00eda el perfil enriquecido al p\u00edxel de Yandex integrado en el sitio web\u201d, explica Aniketh Girish, estudiante de doctorado en IMDEA Networks y uno de los investigadores involucrados en este trabajo. \u201cA pesar de utilizar diferentes t\u00e1cticas, ambos rastreadores logran el mismo resultado: vincular fluidamente las identidades m\u00f3viles y web sin que el usuario tenga que registrarse\u201d, a\u00f1ade.<\/p>\n<p>Al hablar de Yandex Metrica, el estudiante de doctorado Nipuna Weerasekara, otro de los investigadores que particip\u00f3 en este estudio, es claro: \u201cLo que m\u00e1s me sorprendi\u00f3 fue la naturaleza din\u00e1mica de las aplicaciones de Yandex que utilizan el SDK de AppMetrica. Yandex implementa este m\u00e9todo de seguimiento de forma similar a los nodos de comando y control de malware, recuperando las configuraciones de los puertos de escucha y los retrasos de inicio de los servidores de Yandex en tiempo de ejecuci\u00f3n. Observamos que estas aplicaciones esperan hasta tres d\u00edas despu\u00e9s de la instalaci\u00f3n antes de activar sus escuchas de host local. Nuestra hip\u00f3tesis es que se trata de un retraso intencionado para evadir las investigaciones. Este dise\u00f1o permite que las aplicaciones de Yandex se adapten al instante y, potencialmente, evadan las mitigaciones a nivel de navegador de Google Chrome, como el bloqueo est\u00e1tico de puertos locales. Simplemente rotando los puertos en el servidor, estas aplicaciones pueden mantener un canal de datos persistente de la web a la aplicaci\u00f3n a pesar de las contramedidas\u201d.<\/p>\n<h2>Prevenir el abuso<\/h2>\n<p>Para Narseo Vallina-Rodr\u00edguez, profesor asociado de investigaci\u00f3n en IMDEA Networks y l\u00edder del grupo de investigaci\u00f3n, la soluci\u00f3n para prevenir este tipo de abuso es que las plataformas m\u00f3viles y los navegadores revisen la forma en que gestionan el acceso a los puertos locales. \u201cEl problema fundamental que permite este ataque es la falta de control sobre las comunicaciones del&nbsp;<em>host&nbsp;<\/em>local en la mayor\u00eda de las plataformas modernas. Hasta nuestra divulgaci\u00f3n, los usuarios\/as de Android atacados por Yandex y Pixel de Meta estaban completamente incapacitados contra este m\u00e9todo de rastreo. Es posible que la mayor\u00eda de los fabricantes de navegadores y operadores de plataformas ni siquiera consideraran este abuso en sus modelos de amenazas\u201d. Sin embargo, a\u00f1ade, \u201cpor lo tanto, las mitigaciones t\u00e9cnicas no deber\u00edan interrumpir los usos leg\u00edtimos de los&nbsp;<em>sockets&nbsp;<\/em>del&nbsp;<em>host&nbsp;<\/em>local, como los m\u00e9todos antifraude o de autenticaci\u00f3n. Por lo tanto, es necesario complementar cualquier soluci\u00f3n t\u00e9cnica, como nuevos principios de&nbsp;<em>sandboxing&nbsp;<\/em>y modelos de prueba m\u00e1s estrictos, con pol\u00edticas de plataforma m\u00e1s estrictas y procesos de verificaci\u00f3n de tiendas para limitar el abuso y, as\u00ed, disuadir a otros servicios de rastreo de utilizar m\u00e9todos similares en el futuro\u201d.<\/p>\n<p>Actualmente no hay evidencia de que Meta o Yandex hayan revelado estas capacidades de rastreo ni a los sitios web que alojan los rastreadores ni a las personas usuarias finales que los visitan. La informaci\u00f3n de los foros de desarrolladores sugiere que Meta y Yandex podr\u00edan no haber comunicado este comportamiento a desarrolladores de sitios web que integran sus soluciones de seguimiento. De hecho, muchos operadores de sitios web que usan Meta Pixel se sorprendieron cuando el script comenz\u00f3 a conectarse a puertos locales, como sugieren varios hilos del foro. Hasta que Google y otros navegadores importantes respondan, la \u00fanica forma de prevenir estos abusos es evitar descargar aplicaciones como Facebook o Instagram, y las aplicaciones de Yandex mencionadas anteriormente.<\/p>\n<p>Gunes Acar, profesor adjunto de la Universidad de Radboud, quien codirigi\u00f3 la investigaci\u00f3n e hizo el descubrimiento inicial, destaca: \u201cMeta no solo no inform\u00f3 a los propietarios de sitios web sobre este m\u00e9todo de seguimiento, sino que tambi\u00e9n ignor\u00f3 sus quejas y preguntas\u201d. Concluye: \u201cEste tipo de seguimiento multiplataforma no tiene precedentes, y resulta especialmente sorprendente viniendo de dos empresas que prestan servicios a miles de millones de usuarios en todo el mundo\u201d. En cuanto a las protecciones implementadas gracias a sus revelaciones, \u201cnos complace ver que desarrolladores de navegadores, como Chrome y DuckDuckGo, ya han publicado correcciones gracias a nuestras revelaciones\u201d.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una colaboraci\u00f3n internacional de investigaci\u00f3n entre el grupo de An\u00e1lisis de Internet de IMDEA Networks, dirigido por Narseo Vallina-Rodr\u00edguez, el Prof. Gunes Acar (Universidad de Radboud, Pa\u00edses Bajos) y Tim Vlummens (Universidad Cat\u00f3lica de Lovaina, B\u00e9lgica), ha descubierto recientemente un posible abuso de la privacidad que involucra a Meta y al gigante tecnol\u00f3gico ruso Yandex. Descubrieron que las aplicaciones nativas de Android, incluyendo Facebook, Instagram y varias aplicaciones de Yandex como Maps, Navi, Browser y Search, escuchan silenciosamente en puertos locales fijos de dispositivos m\u00f3viles para desanonimizar los h\u00e1bitos de navegaci\u00f3n de las personas usuarias sin su consentimiento. Al integrar\u2026<\/p>\n","protected":false},"author":58,"featured_media":135402,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0},"categories":[48807],"tags":[37185,40254,241,40919],"blocksy_meta":{"styles_descriptor":{"styles":{"desktop":"","tablet":"","mobile":""},"google_fonts":[],"version":4}},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/posts\/135400"}],"collection":[{"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/users\/58"}],"replies":[{"embeddable":true,"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/comments?post=135400"}],"version-history":[{"count":2,"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/posts\/135400\/revisions"}],"predecessor-version":[{"id":135403,"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/posts\/135400\/revisions\/135403"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/media\/135402"}],"wp:attachment":[{"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/media?parent=135400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/categories?post=135400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.madrimasd.org\/blogs\/sociedadinformacion\/wp-json\/wp\/v2\/tags?post=135400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}