La compañía de Zuckerberg y Yandex utilizaron una laguna de localhost para vincular datos del navegador con usuarios de aplicaciones, según expertos
Los investigadores de seguridad han revelado que Meta y Yandex utilizaron aplicaciones nativas de Android para escuchar en puertos localhost, permitiéndoles vincular datos de navegación web con identidades de usuarios y eludir las protecciones típicas de privacidad.
Tras la divulgación de estos hallazgos, los investigadores observaron que el script Pixel de Meta dejó de enviar datos a localhost y que el código de rastreo fue eliminado en gran medida. Esta medida podría ayudar a Meta a evitar el escrutinio bajo las políticas de Google Play, que prohíben la recopilación encubierta de datos en aplicaciones.
«Estamos en conversaciones con Google para abordar una posible falta de comunicación sobre la aplicación de sus políticas», declaró un portavoz de Meta. «Al tomar conocimiento de las preocupaciones, decidimos pausar la función mientras trabajamos con Google para resolver el problema».
El portavoz de Meta no respondió a una solicitud para elaborar sobre las conversaciones de la compañía con Google.
Lo que encontraron los investigadores
En un informe publicado el martes, científicos informáticos afiliados a IMDEA Networks (España), Universidad de Radboud (Países Bajos) y KU Leuven (Bélgica) describen cómo el gigante de redes sociales estadounidense y el motor de búsqueda ruso fueron observados utilizando aplicaciones nativas de Android para recopilar datos de cookies web a través de la interfaz de bucle invertido del dispositivo, comúnmente conocida como localhost.
Localhost es una dirección de bucle invertido que un dispositivo puede usar para hacer una solicitud de red a sí mismo. Es comúnmente utilizada por desarrolladores de software para probar aplicaciones basadas en servidor como sitios web en hardware local.
Los investigadores – Aniketh Girish (estudiante de doctorado), Gunes Acar (profesor asistente), Narseo Vallina-Rodriguez (profesor asociado), Nipuna Weerasekara (estudiante de doctorado) y Tim Vlummens (estudiante de doctorado) – dicen que encontraron aplicaciones nativas de Android, incluyendo Facebook e Instagram, y Maps y Browser de Yandex, que escuchan silenciosamente en puertos locales fijos con fines de rastreo.
«Estas aplicaciones nativas de Android reciben metadatos, cookies y comandos de navegadores desde los scripts Meta Pixel y Yandex Metrica integrados en miles de sitios web», explican los científicos informáticos. «Estos JavaScripts se cargan en los navegadores móviles de los usuarios y se conectan silenciosamente con aplicaciones nativas ejecutándose en el mismo dispositivo a través de sockets localhost».
Como estas aplicaciones nativas acceden a identificadores de dispositivo como el Android Advertising ID o manejan identidades de usuario en aplicaciones de Meta, según dicen los investigadores, pueden vincular sesiones de navegación móvil y cookies web con identidades de usuario.
Esencialmente, al abrir puertos localhost que permiten a sus aplicaciones de Android recibir datos de rastreo, como cookies y metadatos del navegador, desde scripts ejecutándose en navegadores móviles, Meta y Yandex pueden eludir salvaguardas comunes de privacidad como el borrado de cookies, el modo incógnito y el sistema de permisos de aplicaciones de Android.
La técnica también viola suposiciones sobre el alcance de las cookies de primera parte, que se supone que no pueden rastrear actividad de navegación en diferentes sitios web. Según los investigadores, «el método que divulgamos permite vincular las diferentes cookies _fbp al mismo usuario, lo que elude las protecciones existentes y va en contra de las expectativas del usuario».
Con respecto a Meta, el proceso de rastreo involucra scripts asociados con Meta Pixel, código de análisis utilizado por mercadólogos para recopilar datos sobre interacciones con sitios web.
Varias APIs y protocolos pueden usarse para implementar el esquema de espionaje aplicación-web descrito. Estos incluyen: SDP munging, que involucra modificar manualmente mensajes del Session Description Protocol (SDP) antes de que los datos se pasen al navegador; protocolos de comunicaciones en tiempo real WebSocket y WebRTC; Session Traversal Utilities for NAT (STUN), un mecanismo de descubrimiento de direcciones; y Traversal Using Relays around NAT (TURN), un método de elusión de restricciones de router.
Los investigadores describen el enfoque de Meta así:
El usuario abre la aplicación nativa de Facebook o Instagram, que eventualmente se envía al fondo y crea un servicio en segundo plano para escuchar tráfico entrante en un puerto TCP (12387 o 12388) y un puerto UDP (el primer puerto desocupado en 12580-12585). Los usuarios deben estar conectados con sus credenciales en las aplicaciones.
El usuario abre su navegador y visita un sitio web que integra el Meta Pixel.
En esta etapa, los sitios web pueden pedir consentimiento dependiendo de las ubicaciones del sitio web y del visitante.
El script Meta Pixel envía la cookie _fbp a la aplicación nativa de Instagram o Facebook a través de WebRTC (STUN) SDP Munging.
El script Meta Pixel también envía el valor _fbp en una solicitud a https://www.facebook.com/tr junto con otros parámetros como URL de página (dl), metadatos del sitio web y navegador, y el tipo de evento (ev) (por ejemplo, PageView, AddToCart, Donate, Purchase).
Las aplicaciones de Facebook o Instagram reciben la cookie _fbp del JavaScript Meta Pixel ejecutándose en el navegador. Las aplicaciones transmiten _fbp como una mutación GraphQL a (https://graph.facebook.com/graphql) junto con otros identificadores persistentes de usuario, vinculando el ID fbp del usuario (visita web) con su cuenta de Facebook o Instagram.
Los investigadores observaron a Meta implementando esta técnica a partir de septiembre de 2024, transmitiendo datos vía HTTP. Desarrolladores de terceros trabajando con APIs de Meta notaron y cuestionaron el comportamiento en publicaciones de foros en ese momento.
La transmisión de datos basada en HTTP usando esta técnica supuestamente terminó al mes siguiente, pero otros métodos de transmisión (WebSocket, WebRTC STUN (con SDP Munging) y WebRTC TURN (sin SDP Munging)) fueron identificados en meses posteriores.
Actualmente, sin embargo, el uso de estas técnicas por parte de Meta parece haber cesado. Según los investigadores, «A partir del 3 de junio a las 7:45 CEST, el script Meta/Facebook Pixel ya no está enviando paquetes o solicitudes a localhost. El código responsable de enviar la cookie _fbp ha sido casi completamente eliminado».
El uso de rastreo basado en localhost por parte de Yandex se remonta a 2017, según los investigadores.
Respuestas de la industria
Los autores del informe señalan que su divulgación a proveedores de navegadores Android ha llevado a varias mitigaciones.
Chrome 137, que se lanzó el 26 de mayo de 2025, incluye contramedidas para bloquear la técnica SDP Munging utilizada por Meta Pixel, aunque estas solo han estado disponibles para un subconjunto de usuarios participando en un ensayo de campo cerrado. Actualmente se está desarrollando una solución para Mozilla Firefox. Brave no se ve afectado ya que requiere consentimiento para el uso de localhost. Y DuckDuckGo ha modificado su lista de bloqueo para detener los scripts de Yandex.
