Meta y Yandex aprovechan una funcionalidad para rastrear a los usuarios en secreto

En los últimos años, hemos escuchado mucho sobre el sandboxing y las protecciones contra el rastreo implementadas por los grandes navegadores como Chrome. La promesa era sencilla: una vez activadas esas protecciones, los usuarios ya no tendrían que preocuparse por el espionaje de las Big Tech ni por que su historial de navegación se vinculara directamente con su identidad. En su lugar, la publicidad dirigida se alimentaría de datos anónimos, lo suficientemente eficaces —al menos en teoría— para satisfacer las necesidades de los anunciantes.

Pero esa idea siempre nos pareció fantasiosa. Desde hace tiempo sostenemos que desanonimizar esos datos supuestamente “anónimos” sigue siendo perfectamente posible. Pero ¿y si ni siquiera fuera necesario tanto esfuerzo? ¿Y si, a pesar de todas las protecciones incorporadas, las plataformas aún pudieran acceder a identificadores únicos de usuario y vincularlos con su historial de navegación?

Pues eso es exactamente lo que Meta y Yandex descubrieron que podían hacer.
Según una nueva investigación, Meta (a través de Meta Pixel) y Yandex (con Yandex Metrica) han estado aprovechando una vulnerabilidad en el sistema Android y en el comportamiento de los navegadores móviles para desanonimizar a los usuarios, conectando sus datos de navegación web con sus identidades reales dentro de las aplicaciones nativas, como Facebook e Instagram.

Cómo eluden las protecciones contra el rastreo

Si quieres una explicación técnica completa de cómo funciona exactamente este rastreo, te recomendamos consultar la investigación original. Pero, en resumen, Meta y Yandex encontraron una forma no convencional de transferir datos de rastreo desde el navegador móvil directamente hacia sus aplicaciones nativas. El método, que Yandex ha utilizado desde 2017 y que Meta adoptó en una forma ligeramente distinta a finales de 2024, aprovecha la forma en que Android permite que las aplicaciones abran canales de comunicación consigo mismas.

Funciona así: cuando un usuario instala y ejecuta una de estas aplicaciones —incluso si solo está en segundo plano—, la app abre un canal de comunicación privado en el dispositivo, conocido como localhost o loopback port. Cuando se usa como está previsto, este canal permite que los desarrolladores prueben y visualicen sus aplicaciones localmente antes de lanzarlas en un servidor real.

Sin embargo, Meta y Yandex han abusado de esta funcionalidad para transferir datos de rastreo (como cookies web u otros identificadores únicos) desde navegadores móviles (como Firefox o los basados en Chromium) hacia sus apps de Android, como Facebook, Instagram y los distintos servicios de Yandex.

Cuando un usuario visita un sitio que incorpora los scripts de Meta Pixel o de Yandex Metrica (rastreadores presentes en millones de sitios), esos scripts usan recursos estándar del navegador —como solicitudes HTTP, WebSockets o WebRTC— para enviar datos, incluidos cookies de rastreo, directamente a esos puertos locales abiertos. La app instalada en el dispositivo recibe esta información y puede vincularla con la cuenta del usuario que tiene iniciada sesión en la aplicación. Una vez establecida esta conexión, las aplicaciones envían los datos combinados (comportamiento en el navegador + identidad del usuario) de regreso a los servidores de Meta o Yandex.

Como resultado, Meta y Yandex logran evadir el sandboxing del navegador, el modo incógnito y los controles de permisos de Android. Esto les da una forma sigilosa de desanonimizar a los usuarios y monitorear lo que haces en línea —incluso cuando crees que estás protegido por el “modo incógnito”.

¿Todavía lo están haciendo?

Según los investigadores, Meta detuvo esta práctica. A partir del 3 de junio de 2025, el script de rastreo Meta Pixel (antes conocido como Facebook Pixel) dejó de enviar paquetes o solicitudes al localhost. En una declaración al sitio Ars Technica, Meta afirmó: “En cuanto tuvimos conocimiento de las preocupaciones, decidimos pausar la función mientras trabajamos con Google para resolver el problema.”

Yandex, por su parte, también declaró haber descontinuado la práctica, y agregó que la función en cuestión no tenía como objetivo recolectar información sensible y que estaba “destinada exclusivamente a mejorar la personalización dentro de nuestras aplicaciones.”

Google respondió diciendo que estas prácticas “violaron flagrantemente” sus principios de seguridad y privacidad, y que no estaban en conformidad con sus términos de servicio. La compañía también afirmó que inició una investigación sobre el uso indebido de los recursos del navegador.

¿Cómo protegerse de esto?

Está claro que las protecciones nativas de Android y las integradas en los principales navegadores, como Chrome y Firefox, fallaron esta vez. Sin embargo, los usuarios de navegadores menos populares pero más enfocados en la seguridad y la privacidad —como DuckDuckGo y Brave— tuvieron mucha más suerte. Esto se debe a que estos navegadores ya cuentan con protecciones integradas contra el rastreo, que bloquean solicitudes sospechosas desde el inicio o impiden el intercambio de identificadores.

AdGuard funciona bajo el mismo principio: si tienes activado el filtro de Protección contra Rastreo, bloqueamos Meta Pixel, Yandex Metrica y otros scripts de rastreo directamente en el origen —incluidos los que intentan explotar este truco del localhost. Por lo tanto, en este caso específico, si ese filtro está activado, no tienes de qué preocuparte.

Dicho esto, este método demuestra hasta dónde están dispuestas a llegar las empresas para eludir las protecciones del navegador y del sistema operativo —y ese es el verdadero problema. Si este tipo de técnica se vuelve más común, podría representar una amenaza seria y generalizada para la privacidad de los usuarios. Así que, aunque por ahora estés protegido, ya estamos trabajando en una solución más amplia y duradera para acabar de una vez por todas con este tipo de abuso.