Lo que parecía una navegación privada en tu celular podría no ser tan segura como pensabas. Un grupo de investigadores descubrió cómo algunas aplicaciones populares explotan funciones del sistema Android para monitorear tu actividad online sin consentimiento. El rastreo es silencioso, difícil de detectar y podría haber afectado a miles de millones de usuarios en todo el mundo.

Lo que reveló la investigación sobre Android y el rastreo invisible

Un estudio llevado a cabo por IMDEA Networks, en colaboración con universidades europeas, expuso una técnica que permite a aplicaciones nativas como Facebook e Instagram recolectar información de navegación de los usuarios sin autorización. El procedimiento también fue atribuido a Yandex, empresa tecnológica rusa.

Según los investigadores, las apps se aprovechan de una función del sistema Android que permite la comunicación entre programas mediante “sockets locales”. Esta puerta de acceso interna es utilizada por los scripts Meta Pixel y Yandex Metrica, integrados en millones de sitios web, para enviar datos sobre tu actividad a las aplicaciones instaladas en tu teléfono.

Lo inquietante es que este proceso ocurre incluso si no estás logueado en las plataformas o usás herramientas como el modo incógnito o una VPN. El rastreo es sigiloso, y la información que recopilan puede estar vinculada directamente a tu identidad gracias a identificadores como el ID de publicidad de Android o las credenciales gestionadas por las redes sociales.

Cómo funcionan los scripts que desanonimizan tu navegación

La técnica consiste en insertar scripts en sitios web populares. Cuando un usuario accede a uno de estos sitios desde un navegador móvil en Android, el script recoge cookies, comandos y metadatos. Esta información es enviada, sin que lo sepas, a la app correspondiente en el mismo dispositivo, aprovechando los sockets internos.

Esta comunicación invisible entre navegador y aplicación permite lo que los investigadores denominan “desanonimización del tráfico web”. Es decir, lo que haces en la web —incluso fuera de la app— puede asociarse a tu perfil personal. De esta forma, se eliminan las barreras que normalmente protegen tu anonimato online.

IMDEA ha señalado que el diseño actual de Android permite que cualquier app con permisos de internet pueda abrir estos canales de comunicación. Como resultado, los controles de privacidad existentes no son capaces de frenar esta práctica, que ocurre completamente en segundo plano.

Meta y Yandex: cuándo comenzaron y qué han hecho al respecto

Según los datos revelados, Yandex lleva utilizando esta técnica desde 2017. En el caso de Meta, se detectó actividad de rastreo desde septiembre de 2024. A través de su script Meta Pixel —presente en más de 5,8 millones de sitios web según BuiltWith— la compañía ha tenido acceso indirecto a la navegación de los usuarios. Yandex Metrica, por su parte, se encuentra en unos 3 millones de páginas.

Ante la denuncia, Meta aseguró haber desactivado el envío de datos a través de direcciones locales desde sus aplicaciones, lo que implicaría el fin de esta práctica. Sin embargo, los investigadores advierten que esta vulnerabilidad sigue abierta para otros actores o desarrolladores que busquen explotar el mismo método.

Además, no se descarta que una técnica similar pueda ser utilizada en dispositivos con iOS, aunque por el momento no se ha confirmado.

¿Qué medidas podrían evitar este tipo de rastreo?

Los expertos detrás del informe remarcan la urgencia de adoptar políticas más restrictivas a nivel de plataforma. Proponen crear alertas para los usuarios cuando se detecten accesos a puertos locales, así como una revisión profunda de los permisos que las apps pueden solicitar en Android.

También sugieren que Google y otras compañías refuercen los controles internos del sistema operativo para bloquear estas prácticas de forma predeterminada. Mientras tanto, recomiendan a los usuarios mantener actualizados sus dispositivos y usar navegadores centrados en la privacidad, aunque reconocen que estas medidas pueden no ser suficientes.

La investigación deja claro que el sistema actual presenta brechas críticas que deben abordarse con urgencia para proteger la privacidad de los usuarios frente a métodos de rastreo que no solo recolectan datos, sino que los vinculan directamente con identidades reales.