“Localhost, darling”: Meta y el arte de colarse por la puerta trasera

Ya no hace falta mirar debajo de la cama para encontrar monstruos. Basta con abrir Facebook (¿alguien sigue usándolo?) o Instagram... o cualquier App de Meta (WhatsApp también???) que esté campando a sus anchas en tu móvil Android desde septiembre de 2024. ¿La novedad? No es que te espíen, es cómo lo hacen. Y créeme, esta vez se han pasado de listos.

Mientras tú te instalabas una VPN, activabas el modo incógnito o usabas DuckDuckGo como si fueras el Jason Bourne de la navegación privada, las Apps de Meta estaban literalmente hablando con tu dispositivo. Directamente, a través de un puerto local como si fueran colegas de toda la vida. ¿El resultado? Una conexión secreta entre lo que hacías en la web y tu cuenta de Facebook o Instagram. Y tú sin saberlo.

Lo que pasa entre Apps, ya no se queda en Apps

Todo empezó como empiezan las buenas historias: por accidente. Günes Acar, un investigador con más curiosidad que tiempo libre, vio que una simple visita a la web de su universidad abría conexiones con su propio ordenador. Nada sospechoso, salvo que también hablaba con Facebook. De ahí, una investigación junto a Narseo Vallina-Rodríguez que acabó destapando uno de los sistemas de rastreo más sigilosos y sofisticados de los últimos años. Toda la historia técnica, para los nerds del grupo, está en este enlace: Covert Web-to-App Tracking via Localhost on Android

Spoiler: es tan turbio como interesante.

El sistema funciona así: si tienes la App de Instagram o Facebook abierta (o simplemente instalada y te has logado), y visitas una web que tiene el píxel de Meta (ese adorable código que está en el 20% de las webs más populares), la página se comunica directamente con la App. A través de tu dispositivo, saltándose todas las políticas de privacidad del navegador, modo incógnito incluido. Es como si tu historial web se susurrara al oído de Zuck mientras tú navegabas pensando que eras invisible.

Y no estamos hablando de simples URLs. El pixel recoge todo lo que haces: si ves un producto, si lo añades al carrito, si compras, si te registras... Todo ese comportamiento se vincula a tu identidad y se reenvía a los servidores de Meta. Bon appétit.

Desde Rusia con amor

La parte divertida (si es que algo de esto puede serlo) es que el sistema no lo inventó Meta. Al parecer, la empresa rusa Yandex llevaba haciéndolo desde 2017. Meta simplemente cogió la receta, le puso una guarnición californiana y se lanzó a cocinar a fuego lento nuestra privacidad.

En su primera versión, usaban conexiones al puerto 5544 (el clásico "localhost"). Luego, cuando algunos desarrolladores empezaron a sospechar, cambiaron a métodos más sofisticados para que fuera aún más difícil de detectar. Una evolución digna de serie de espías.

Desanonimizar es el nuevo targeting

¿Y por qué todo esto te debe importar? Porque rompe todas las reglas. No hace falta que metas tu email en una web para que te rastreen, basta con que estés logado en una App. Así, Meta puede asociar tus cookies con tu identidad real sin pedir permiso y lo hace mientras crees que estás navegando “privadamente”.

Este tipo de tracking no es solo intrusivo, sino posiblemente ilegal. Google ya ha confirmado que viola sus principios de seguridad y está parcheando su navegador. Mozilla y DuckDuckGo han alzado la voz y Meta, en un acto de contorsionismo comunicativo, ha dicho que “pausa la función mientras trabaja con Google” como si esto fuera un pequeño bug y no una estrategia diseñada con premeditación y alevosía.

El negocio del “todo vale”

Aquí va mi lectura, querides míes: Meta sabe que a pesar del anuncio de Google, las cookies tienen los días contados. Privacy Sandbox, los nuevos marcos regulatorios y la creciente presión pública han puesto el foco en el rastreo web y ¿cual es la respuesta de Zuck & co? Buscar rutas alternativas. Porque en el fondo, todo este esfuerzo no es por mejorar la experiencia del usuario, sino por mantener el negocio. Que nadie se equivoque.

Lo que más molesta no es la técnica. Es la hipocresía. Las mismas empresas que se dan golpes de pecho hablando de privacidad y ética digital son las que diseñan, implementan y refinan estas prácticas... y si nadie las descubre, mejor. Meta desactiva esta función sólo cuando la prensa empieza a hacer preguntas incómodas. Mientras tanto, medio planeta ha estado entregando su historial web como si fuera una suscripción involuntaria a su diario íntimo.

Moraleja: si la privacidad es el nuevo lujo, entonces Meta te ha dejado en bragas

A estas alturas, la frase “si no pagas por el producto, tú eres el producto” suena más naíf que el branded content de influencers en LinkedIn. La verdad es mucho más cruda: incluso cuando no estás pagando ni participando activamente, estás generando valor para alguien que sí está monetizando tu actividad. Así que ya sabes. Mientras tú hacías scroll en modo incógnito creyendo que tenías el control, Meta ya había reservado la mesa, pedido el vino y descorchado tu historial.

Porque darling, en este negocio, lo que no se mide no existe. Y lo que no se rastrea… no cotiza.

XOXO,
Gossip Girl