Meta y otros te habrían espiado: descubre cómo proteger tu empresa y tu privacidad

¿Creías que navegar en modo incógnito o con VPN te mantenía a salvo de los espías digitales? Piensa de nuevo. Este mes se ha destapado un presunto escándalo de privacidad que demuestra lo contrario.

Meta –la empresa matriz de Facebook e Instagram–  habría estado rastreando la navegación web de sus usuarios de forma encubierta y a gran escala. Cientos de millones de personas habrían estado expuestas a esta táctica invasiva. Cientos de millones…

Hablamos de un método capaz de vincular todo lo que haces en la web con tu identidad real, incluso si usas navegación privada o borras cookies. Tu navegación personal, tu navegación empresarial, … todo.

‍ Si usas Android, ojo

Meta habría aprovechado una laguna técnica en Android para presuntamente espiar la actividad web de los usuarios sin su permiso. Un riguroso informe técnico de expertos de IMDEA Networks (España) y KU Leuven (Bélgica) –liderados por Günes Acar y Narseo Vallina-Rodríguez, reveló cómo Facebook e Instagram (junto a la rusa Yandex) habrían utilizado técnicas avanzadas para vincular la navegación web móvil con identidades reales, saltándose las protecciones de sistema operativo, navegador e incluso el consentimiento expreso.

Esta estrategia oculta, bautizada como “localhost tracking” por los investigadores, habría explotado un canal de comunicación interno entre el navegador y las apps nativas. ¿El resultado? Los scripts de seguimiento incrustados en millones de sitios podían compartir cookies e identificadores directamente con las apps instaladas en el mismo dispositivo, sin que el usuario lo supiera ni diera consentimientoCómo funcionaría el rastreo “localhost” te lo cuento más abajo, es algo técnico y farragoso. Para muy cafeteros

Recomendaciones rápidas para directivos y empresas

Lo primero es hablar con tu equipo de IT, y a continuación:

• Audita tu rastreo: revisa qué herramientas (píxeles, SDKs, cookies) usas, qué datos recogen y a quién se los envían. Si usas Meta Pixel, cuestiona su necesidad y aplica anonimización si es imprescindible.
• Refuerza tus políticas: alinea tus sistemas con el GDPR y aplica privacidad desde el diseño. Designa un DPO si no lo tienes y entrena al equipo. La ética de datos debe ser cultura, no formalidad.
• Exige a tus proveedores: no trabajes con terceros opacos. Pide DPAs claros, historial limpio y opciones de privacidad. Considera herramientas locales o open source.
• Monitorea sin pausa: usa escáneres para detectar cambios no autorizados. Mantén todo actualizado (navegadores, apps, sistemas) y sigue las alertas de autoridades.
• Sé transparente: informa proactivamente a tus usuarios qué haces con sus datos y dales opciones reales de control. Comunicar con claridad hoy, evita crisis mañana.

Tus equipos te deberían hablar de herramientas como: OneTrust, Ghostery Privacy Suite, Matomo o NextDNS.

Recomendaciones para usuarios (toma el control)

• Actualiza siempre: navegadores y apps con versiones viejas son puertas abiertas. Aplica parches y revisa qué cambia en cada update.
• Menos apps, menos exposición: usa solo las necesarias. Revisa y limita permisos (ubicación, fondo, micrófono). Si puedes, accede desde navegador en lugar de app.
• Navega con privacidad: usa Brave, DuckDuckGo, extensiones anti-tracking. Limpia cookies y evita mezclar contextos (navegador/logins).
• Configura tus anuncios: revisa ajustes de privacidad en Facebook, Instagram y Android. Desactiva lo que puedas, borra historiales.
• Infórmate y actúa: sigue fuentes de privacidad, ejerce tus derechos y habla del tema. La cultura digital empieza contigo.

Tu deberías estar probando herramientas como: Lockdown Privacy, navegadores como Brave o DuckDuckGo o Proton Suite.

‍ Para muy cafeteros ¿Cómo funcionaría el rastreo de “localhost” de Meta

El mecanismo combinaba componentes web y de apps móviles de una forma ingeniosa (y preocupante):

1. Puerta trasera en el móvil: las aplicaciones de Meta (Facebook, Instagram) y Yandex, al quedar en segundo plano, podrían abrir puertos locales en el dispositivo Android, quedando a la escucha de conexiones internas . Cualquier app con permiso de Internet podría abrir un socket en 127.0.0.1 en Android , y los navegadores móviles podrían acceder a esa dirección sin alertar al usuario. Meta y Yandex se aprovecharon presuntamente justo de eso.
2. Truco en la web: cuando el usuario visitaba una página web que incluía el código de rastreo Meta Pixel (presente en ~25% de los sitios más populares ) o el script Yandex Metrica, ese código detectaría los puertos abiertos y enviaría a través de ellos un identificador único. En el caso de Meta, utilizarían presuntamente WebRTC con técnicas avanzadas (SDP Munging, servidores TURN) para mandar la cookie _fbp del sitio web directamente a la app de Facebook/Instagram en segundo plano.
3. Uniendo tu identidad: la app recibiría ese identificador y lo vincularía con la cuenta real del usuario con la que estaría logueado en la app (tu perfil de Facebook o Instagram). Inmediatamente, enviaría todos esos datos combinados a los servidores de Meta mediante peticiones internas (por ejemplo, GraphQL) . Lo mismo haría Yandex, presuntamente, con sus apps (Maps, Browser, etc.).
4. Doble envío de datos: paralelamente, el script de seguimiento en la web también enviaría los datos de navegación directamente a los servidores de Meta/Yandex por la vía convencional (incluyendo la URL visitada, dispositivo, acciones realizadas, etc.) . Meta recibiría así cada clic, búsqueda o compra que hacías en sitios con su Pixel, y gracias al truco local, podría, presuntamente, saber que eras tú quien lo hacía, no un usuario anónimo.

TENDENCIAS interesantes elegidas para ti

En el terreno geopolítico: 

“Gobernanza de datos: por qué este año es diferente a todos los anteriores’”

(IAPP)

¿Por qué es interesante leerlo?

Este análisis de la IAPP ofrece una visión geopolítica novedosa sobre privacidad y transferencia de datos. El autor destaca que, en medio de tensiones comerciales y cambios de alianzas, el panorama de la gobernanza de datos se ha vuelto mucho más inestable que en años anteriores. Por primera vez, Estados Unidos está imponiendo restricciones significativas al flujo transfronterizo de datos por motivos de seguridad nacional – un giro notable dado que históricamente abogaba por la libre circulación de información..

En el terreno empresarial: 

“Microsoft se pliega en la UE con el lanzamiento de una nube pública y privada soberana”

(El Español)

¿Por qué es interesante leerlo?

Para entender que Microsoft ha respondido a la presión regulatoria europea anunciando que los datos de sus clientes en la nube permanecerán en Europa bajo control de personal local. Señala un cambio estratégico: la privacidad y la localización de datos se vuelven ventajas competitivas y parte central de la propuesta de valor de las empresas tecnológicas en mercados regulados. Y señala también que los grandes como Microsoft pueden con la presión regulatoria, pero los medianos y pequeños se quedan por el camino en Europa.

En el terreno de legislación: 

“Reino Unido aprueba la Ley de Uso de Datos, reformando su marco de privacidad”

(Taylor Wessing Blog)

¿Por qué es interesante leerlo?

El Parlamento británico dio luz verde a una nueva ley de protección de datos que modifica la versión local del GDPR

 buscando mayor flexibilidad e innovación. La norma introduce cambios como la relajación de ciertas obligaciones y un enfoque más pro-empresarial.. En resumen, ilustra cómo las leyes de privacidad evolucionan –a veces divergentes según el país– y cómo los equilibrios entre protección de datos y competitividad tecnológica se están debatiendo en el ámbito regulatorio internacional.

Mi segundo libro ya está a la venta

“La inteligencia artificial y tú”

¿Cómo hago Buzzwords?

He utilizado la mayor cantidad de fuentes posibles, particularmente me gustan: The Information, Wired, Ars Technica … Aparte utilizo inteligencia artificial generativa, como GPT-4o o Genspark, para traducir y mejorar los textos.