“Localhost tracking”: el escándalo que pone a Meta y Yandex al borde de una multa récord por violar la privacidad de miles de millones de usuarios de Android

Compartir en Pinterest Compartir en WhatsApp

Un mecanismo ingenioso (y opaco) para vincular tu navegación con tu identidad real

Meta (Facebook/Instagram) y Yandex han sido protagonistas de la última gran polémica sobre privacidad digital tras la publicación de un riguroso informe técnico firmado por expertos de IMDEA Networks y KU Leuven, entre otros. El hallazgo revela cómo ambas tecnológicas utilizaron técnicas avanzadas para vincular la actividad de navegación web móvil de los usuarios de Android con sus identidades reales, saltándose los controles de privacidad de los sistemas operativos, los navegadores y el consentimiento explícito.

La clave: el uso de lo que se ha bautizado como “localhost tracking”, un canal de comunicación entre el navegador y las apps nativas (Facebook, Instagram, Yandex Maps, Yandex Browser, etc.) que permite a los scripts de seguimiento incrustados en millones de webs compartir identificadores y cookies directamente con las aplicaciones instaladas en el mismo dispositivo, sin que el usuario sea consciente ni haya dado consentimiento real para ese procesamiento cruzado de datos.

¿Cómo funcionaba el “localhost tracking”?

El proceso es complejo pero extremadamente eficaz:

  1. Las apps nativas de Meta o Yandex, al pasar a segundo plano, abren puertos locales en el dispositivo Android, a la espera de recibir mensajes internos.
  2. Cuando el usuario navega por una web que incluye el Meta Pixel o Yandex Metrica, el script de rastreo envía, a través de técnicas como WebRTC (usando “SDP Munging” o TURN), identificadores únicos (como la cookie _fbp en el caso de Meta) directamente a la app en segundo plano.
  3. Estas apps vinculan ese identificador con la cuenta real del usuario (Facebook/Instagram/Yandex), enviando toda la información a los servidores de la compañía mediante peticiones GraphQL (Meta) o equivalentes en Yandex.
  4. De forma simultánea, los scripts envían los mismos datos a los servidores de Meta o Yandex, junto con información contextual sobre la página visitada, el dispositivo, la actividad, etc.

Esto significa que, aunque el usuario navegue en modo incógnito, use VPN o borre cookies tras cada sesión, su actividad web puede ser correlacionada con su identidad real si tiene iniciada sesión en alguna de las apps de Meta o Yandex.

Un escándalo de proporciones globales

Según los investigadores, al menos el 25% de las webs más visitadas del mundo tenían integrado el Pixel de Meta o el script de Yandex Metrica, afectando potencialmente a miles de millones de usuarios. Se estima que más de 15.000 sitios de alto tráfico ejecutaban este rastreo incluso antes de que el usuario diera consentimiento a cookies.

La gravedad es tal que los datos capturados permiten reconstruir el historial completo de navegación, patrones de compra, registros en webs, formularios completados, y asociarlo con la identidad del usuario en redes sociales, todo ello sin transparencia ni control real para el afectado.

Infracciones y sanciones: ¿la mayor multa de la historia?

El “localhost tracking” vulnera al menos tres normativas europeas de máxima exigencia:

  • RGPD: Meta y Yandex trataban datos personales y combinaban perfiles sin el consentimiento explícito exigido, violando los principios de minimización, transparencia y privacidad por defecto.
  • DMA: La Digital Markets Act prohíbe la combinación de datos entre servicios principales de un mismo gatekeeper (Meta fue declarado “gatekeeper” en 2023) sin consentimiento específico y granular.
  • DSA: La Digital Services Act prohíbe la personalización de anuncios en base a categorías especiales de datos personales.

El riesgo teórico acumulado por sanciones, considerando el 4% de facturación global (RGPD), el 10% (DMA) y el 6% (DSA), podría alcanzar los 32.000 millones de euros para Meta, según Citizen8 y expertos en protección de datos. Aunque nunca se han impuesto sanciones máximas de forma simultánea, el historial de infracciones reiteradas, la falta de colaboración y la dimensión global del abuso pueden sentar un precedente.

Reacción de la industria y lecciones para el futuro

Meta y Yandex retiraron de inmediato el canal de “localhost tracking” tras la publicación del informe. Navegadores como Chrome, Firefox, Brave y DuckDuckGo han aplicado o anunciado mitigaciones técnicas, como el bloqueo de puertos y la desactivación de ciertas APIs abusadas por estos scripts. Pero el problema de fondo sigue abierto: la arquitectura de Android permite a cualquier app abrir sockets en localhost sin control, lo que deja la puerta abierta a futuros abusos similares si no se actualizan las políticas de plataforma y los estándares de privacidad.

Los investigadores instan a implementar controles más estrictos sobre el acceso a localhost, mayor transparencia para los usuarios y medidas legales ejemplares contra el abuso sistemático de lagunas técnicas para eludir la protección de la privacidad.

Conclusión

El caso “localhost tracking” demuestra hasta qué punto la sofisticación tecnológica puede superar las regulaciones si no existe vigilancia activa y sanciones disuasorias. Supone una llamada de atención para reguladores, empresas y usuarios sobre la importancia de exigir responsabilidades y reforzar los mecanismos de protección en la economía digital.

En el contexto de una Europa decidida a ser referencia mundial en derechos digitales, la resolución de este caso marcará el futuro de la privacidad, la protección de datos y la confianza en el ecosistema digital.

Referencias: Citizen8 y Local mess

Compartir en Pinterest Compartir en WhatsApp
Picture of MyR

MyR

Últimos artículos

Artículos relacionados

Messenger.es es un medio de Medios y Redes
Artículos patrocinados     Servicio de Diseño web     Contacto     Acerca de MyR
© 1995-2024 Color Vivo Internet, SLU (Medios y Redes online). Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.
Scroll al inicio