Imagen artística con el rostro de Pedro Sánchez generada por IA. Omicrono
Así funcionaba el rastreo sin consentimiento de Meta en móviles por el que Sánchez le quiere llevar al Congreso
El presidente se ha hecho eco de una investigación ocurrida en junio, que detallaba este sistema que desanonimizaba a los usuarios de Android.
Más información: Meta no se fía de su propia IA: avisa a los usuarios para que "eviten compartir información personal o confidencial"
El Congreso de los Diputados de España verá en sus asientos a los responsables de Meta por un presunto caso de espionaje que habría afectado a millones de usuarios. Pedro Sánchez ya ha anunciado que hará declarar a la empresa matriz de Facebook por este caso.
El presidente del Gobierno, en su intervención en el foro Metafuturo 2025, ha cargado contra las prácticas de las grandes compañías de la Big Tech estadounidense, y ha advertido que Meta deberá comparecer en el Congreso para que den explicaciones sobre estas tácticas.
El caso al que se refiere Sánchez explotó en junio de este mismo año, cuando una investigación de IMDEA Networks descubrió un abuso de la privacidad bastante grave que no solo involucraba a la propia Meta, sino a Yandex, el equivalente a Google en Rusia.
La compañía ha reaccionado y ha explicado a través de un comunicado que "Meta se toma muy en serio la privacidad y ofrece una variedad de herramientas para ayudar a las personas a controlar cómo se utilizan sus datos. Esperamos colaborar de forma constructiva con las autoridades en este asunto".
Meta irá al Congreso por su supuesto espionaje
La investigación se llevó a cabo por el grupo de Análisis de Internet de IMDEA, en un estudio firmado por Narseo Vallina-Rodríguez, Tim Vlummens —Universidad Católica de Lovaina, Bélgica— y Gunes Acar, profesor de la Universidad de Radboud en Países Bajos.
El hallazgo de la investigación reveló que las apps nativas de Android de Meta y Yandex —tales como Facebook, Instagram y Maps, Navi o Browser en el caso de Yandex— escuchaban de forma silenciosa lo que decían los usuarios en puertos locales fijos en dispositivos móviles.
Logo Meta Omicrono
El objetivo, decía IMDEA Networks, era "desanonimizar los hábitos de navegación de las personas usuarias sin su consentimiento", integrando el código de seguimiento en millones de sitios web. Así, tanto Pixel de Meta como Yandex Metrica mapearon los hábitos de navegación de los usuarios.
Según la entidad, este mapeo se realizaba "con sus identidades persistentes" o lo que es lo mismo, con los titulares de las cuentas. "Este método elude las protecciones de privacidad que ofrecen los controles de permisos de Android e incluso el modo incógnito", apostillaron.
Lo peor es que no era algo nuevo, al menos respecto a Yandex. El buscador ruso llevaba eludiendo estos sistemas desde al menos 2017, y Meta desde por lo menos septiembre del 2024, hace ya más de un año.
IMDEA estimó que el número de usuarios afectados ascendería a 5,8 millones de usuarios respecto a apps y 3 millones en sitios web. "Solo se han observado pruebas de esta práctica de rastreo en Android", aclaraba entonces el centro de investigación.
El logo de Meta. Omicrono
La metodología técnica, detallada en un extenso artículo de Local Mess, sirve para entender unos sistemas de rastreo que ya han sido 'capados', al menos si nos referimos a Pixel de Meta. Desde junio, este script ya no envía paquetes de ningún tipo, y el código que enviaba la cookie _fbp se habría eliminado casi por completo.
Los investigadores detallaron que bajo el modelo de permisos de Android actual, cualquier app que declarase el permiso 'INTERNET' podía crear y ejecutar en segundo plano un servidor web local dentro de la app, usando sockets TCP (HTTP) o UDP (WebRTC).
![El logo de Meta.](["https:\/\/s3.elespanol.com\/2025\/01\/10\/omicrono\/tecnologia\/915418554_252225656_320x180.jpg"])
Aniketh Girish, estudiante de doctorado en IMDEA Networks y uno de los investigadores principales, relató que la clave estaba en el lugar donde se producía esta conexión y en cómo estos rastreadores podían desanonimizar el tráfico web.
"En el caso del Pixel de Meta, se usaban canales locales para compartir identificadores de navegador mediante WebRTC con sus aplicaciones nativas, como Facebook e Instagram", decía Girish, que también aseguraba que los datos se acaban vinculando a las cuentas de los usuarios.
Mark Zuckerberg, CEO de Meta, con sus gafas inteligentes. Omicrono
Yandex era más pasiva, pero igualmente invasiva. Su SDK AppMetrica, integrado en sus apps, escuchaba en los puertos locales, capturaba datos de seguimiento web entrantes y los agregaba con identificadores a nivel móvil, enviando este perfil enriquecido al píxel de Yandex integrado en su web.
Ya en aquel momento, IMDEA anunció que el equipo internacional de investigación reportó de estos problemas a los proveedores principales de navegadores, que ya estaban implementando medidas para limitar este abuso. Google ya prometió la suya con Chrome.
![Tim Cook durante la WWDC 24](["https:\/\/s3.elespanol.com\/2024\/06\/10\/omicrono\/software\/861924734_243911580_320x180.jpg"])
Lo más señalado es que estos métodos eludían por completo todas las protecciones de privacidad que ofrecen tanto Android como los navegadores web. De hecho, estos procesos funcionaban incluso en el modo incógnito de los navegadores y usando VPN, afectando a sus navegadores principales.
A tenor de este caso, Sánchez ha anunciado que se citará a los responsables de Meta a la Comisión de Asuntos Económicos de la Cámara Baja, así como a expertos en materia para que "identifiquen responsabilidades y garanticen que los derechos no han sido vulnerados de manera sistemática y masiva".
