Investigadores de IMDEA Networks y la Universidad Radboud de Nimega (Países Bajos) han destapado una práctica alarmante: Meta (Facebook, Instagram) y Yandex (Maps) han estado recopilando datos de navegación de millones de usuarios de Android sin su consentimiento explícito.
Este descubrimiento subraya una grave vulnerabilidad en las aplicaciones nativas del sistema operativo, permitiendo que la actividad en línea de los usuarios sea monitoreada de forma subrepticia.
El estudio detalla cómo un método llamado «Local Mess» facilita esta intrusión. A través de scripts como Meta Pixel y Yandex Metrica, incrustados en numerosas páginas web, la información del historial de navegación se envía directamente a las aplicaciones nativas de los dispositivos Android mediante «sockets locales».
Lo más preocupante es que este proceso burla medidas de privacidad como el modo incógnito, el uso de VPN o la eliminación de cookies, permitiendo que la actividad del usuario sea transmitida automáticamente sin necesidad de autenticación. Mientras Yandex ha usado este método desde 2017, Meta lo implementó en septiembre de 2024, con Meta Pixel presente en 5.8 millones de sitios web y Yandex Metrica en unos 3 millones.
Ante esta situación, los expertos recomiendan la implementación de alertas para los usuarios sobre los accesos a puertos locales y un refuerzo en las políticas de seguridad de las plataformas digitales. Meta ha respondido que su script Meta Pixel ya no envía solicitudes a direcciones locales y que están en conversaciones con Google. Sin embargo, la vulnerabilidad «Local Mess» persiste, dejando abierta la posibilidad de que otras entidades la exploten.
Esto resalta la urgencia de fortalecer la seguridad digital para proteger la privacidad del historial de navegación de los usuarios en Android.
Fuente: 2001
