Facebook e Instagram pueden rastrear usuarios a través de sus navegadores internos

Únete a nuestra comunidad en Telegram

Si visita un sitio web que ve en Facebook e Instagram, es probable que haya notado que no se le redirige a su navegador de elección, sino a un navegador personalizado en la aplicación. Resulta que esos navegadores inyectan código javascript en cada sitio web visitado, lo que permite a los padres Meta rastrearlo potencialmente a través de sitios web, descubrió el investigador Felix Krause.

«La aplicación de Instagram inyecta su código de seguimiento en cada sitio web que se muestra, incluso al hacer clic en los anuncios, lo que les permite monitorear todas las interacciones de los usuarios, como cada botón y enlace tocado, selecciones de texto, capturas de pantalla, así como cualquier entrada de formulario, como contraseñas, direcciones y números de tarjetas de crédito», dijo Krause en una publicación de blog.

Su investigación se centró en las versiones iOS de Facebook e Instagram. Eso es clave porque Apple permite a los usuarios optar por el seguimiento de aplicaciones cuando abren una aplicación por primera vez, a través de su Transparencia de seguimiento de aplicaciones (ATT) introducida en iOS 14.5. Meta ha dicho anteriormente que la función era «un viento en contra en nuestro negocio 2022 … del orden de 10.000 millones de dólares».

Meta dijo que el código de seguimiento inyectado obedecía a las preferencias de los usuarios en ATT. «El código nos permite agregar datos de usuarios antes de usarlos con fines publicitarios o de medición dirigidos», dijo un portavoz a The Guardian. «No agregamos ningún píxel. El código se inyecta para que podamos agregar eventos de conversión a partir de píxeles. Para las compras realizadas a través del navegador en la aplicación, solicitamos el consentimiento del usuario para guardar la información de pago con el fin de autocompletar».

Krause señaló que Facebook no necesariamente está utilizando la inyección de javascript para recopilar datos confidenciales. Sin embargo, si las aplicaciones abrieran el navegador preferido de los usuarios como Safari o Firefox, no habría forma de hacer una inyección de javascript similar en ningún sitio seguro. Por el contrario, el enfoque utilizado por los navegadores instagram y Facebook «funciona para cualquier sitio web, sin importar si está encriptado o no», dijo.

Según la investigación de Krause, WhatsApp no modifica los sitios web de terceros de manera similar. Como tal, sugiere que Meta debería hacer lo mismo con Facebook e Instagram, o simplemente usar Safari u otro navegador para abrir enlaces. «Es lo mejor para el usuario y lo correcto». 

Últimas noticias