La técnica de "localhost tracking" de Meta enfrenta el riesgo de una multa de hasta 32 mil millones de euros (47 billones de wones)

 (zeropartydata.es)
8 puntos por GN⁺ 2025-06-11 | 5 comentarios | Compartir por WhatsApp
  • Meta desarrolló un mecanismo de rastreo que evade el sandbox de Android ("localhost tracking") para vincular la identidad real del usuario con su actividad de navegación web, sin importar si usa VPN, modo incógnito o borra las cookies
  • Esta técnica permite que la app de Meta (en segundo plano) y el script de Meta Pixel dentro del navegador intercambien información a través de puertos de la red local, vinculando la cookie _fbp del usuario con su cuenta incluso sin haber iniciado sesión
  • Con este método, el comportamiento de navegación web se conecta con cuentas reales de Facebook/Instagram, lo que permite una integración masiva de datos personales sin consentimiento del usuario
  • Podría violar simultáneamente las principales leyes europeas de protección de datos como GDPR, DSA y DMA, y como las sanciones podrían acumularse, existe la posibilidad de una multa de hasta 32 mil millones de euros (aprox. 4%, 6% y 10% de los ingresos)
  • Durante más de 9 meses, se realizó rastreo masivo sin consentimiento en el 22% de los principales sitios web del mundo (incluidos más de 17 mil en EE. UU.), y se recopilaron y vincularon datos personales de cientos de millones de personas “sin explicación explícita”
  • Debido a la reiteración de infracciones, al abuso de posición dominante y a la clara intención de evasión técnica, incluso se discute la posibilidad de imponer la mayor sanción acumulada de la historia
  • Solo algunos usuarios quedan fuera del impacto, como quienes usan iOS, PC o no tienen instalada la app

La tecnología de "localhost tracking" de Meta

  • Meta usó una técnica innovadora pero polémica llamada "localhost tracking" para evadir las protecciones de identificación de recursos del usuario que el sistema sandbox de Android bloquea intencionalmente
  • Las apps de Facebook/Instagram permanecen en segundo plano, abriendo puertos TCP/UDP específicos en el teléfono y manteniéndolos en estado de escucha (requiere haber iniciado sesión)
  • Cuando el usuario visita un sitio web desde el navegador en el mismo dispositivo (por ejemplo, noticias o comercio electrónico), si ese sitio tiene instalado Meta Pixel, las cookies y la información de actividad se recopilan de inmediato
    • No sirve de nada usar medidas de privacidad como VPN, modo incógnito o borrar cookies
  • El script de Meta Pixel en el navegador aprovecha WebRTC (originalmente para comunicación de video/voz) y un truco llamado SDP Munging para enviar directamente la cookie _fbp a la app
  • Al mismo tiempo, la misma información también se envía por separado a los servidores de Meta, lo que permite rastreo vinculado bidireccional entre actividad online y offline
  • La app de Facebook/Instagram recibe el valor de _fbp y lo reenvía al servidor GraphQL de Meta junto con el identificador único de la cuenta
    • Como resultado, el ID de visita del navegador web y la cuenta real de Facebook/Instagram quedan mapeados 1:1 entre la actividad de visita web y la identidad real, quedando fuertemente vinculados

Por qué el problema es grave

  • Se eluden de forma indirecta las escuchas de puertos locales y la comunicación encubierta entre apps, prohibidas por el diseño de Android
  • Aunque el usuario no abra la app ni inicie sesión en el navegador web, las defensas como VPN, modo incógnito o borrado de cookies no sirven
  • La información se recopila y vincula sin un consentimiento previo claro y suficiente para cumplir con normativas de privacidad como el GDPR
  • El 22% de los sitios Top del mundo se vieron afectados; durante 9 meses (Meta) y 8 años (Yandex), se realizó rastreo sin consentimiento a miles de millones de personas
  • Información recopilada y combinada: historial completo de navegación, carrito y compras, formularios completados en sitios web, patrones de comportamiento por horario, vinculación con cuentas de nombre real, etc.
  • Solo quedan exceptuados quienes usan iOS o PC, no tienen la app instalada, o usan exclusivamente los navegadores Brave/DuckDuckGo

Principales infracciones legales

  • GDPR: se requiere consentimiento para el tratamiento de datos personales con fines publicitarios; violación de los principios de minimización de datos y privacidad desde el diseño (hasta 4% de los ingresos)
  • DSA (art. 26): prohíbe la publicidad personalizada basada en información sensible del perfil (tendencias, opiniones políticas, salud, etc.) (hasta 10% de los ingresos)
  • DMA (art. 5.2): prohíbe combinar datos personales entre plataformas núcleo sin consentimiento explícito (hasta 10%, 20% en caso de reincidencia)
    • Para la vinculación de cuentas se requieren al menos tres consentimientos distintos (GDPR, ePrivacy y DMA), pero solo se exige uno (alternativa forzada de "Pay or OK")
    • Ya existe un precedente: en abril de 2025 se impuso una multa de 200 millones de euros por una infracción relacionada con la DMA

Perspectiva de multas y sanciones

  • GDPR, DMA y DSA tienen cada uno bienes jurídicos y sistemas sancionatorios independientes, por lo que las multas podrían calcularse de forma acumulada
  • La multa máxima teórica es de 32 mil millones de euros. Dadas las infracciones repetidas de Meta, la escasa cooperación regulatoria, su dominio de mercado y los indicios de evasión intencional, podría darse una sanción ejemplar sin precedentes

Conclusión

  • La técnica de “localhost tracking” de Meta es un caso representativo de evasión maliciosa de estándares técnicos y legales de protección de la privacidad, con un impacto y una gravedad muy amplios a nivel mundial.
  • Considerando la violación simultánea de múltiples normas como GDPR/DSA/DMA, además del dominio de mercado y el historial de reincidencia, existe la posibilidad real de que se imponga una multa acumulada del mayor nivel en la historia
  • La atención mundial está puesta en si las autoridades regulatorias impondrán por primera vez una multa acumulada bajo GDPR, DSA y DMA (hasta 32 mil millones de euros)

Lecturas relacionadas

5 comentarios

 
luiseok 2025-06-11

No sé cómo harán para exigir responsabilidades internamente a los directivos que dieron la aprobación.
 
kimjoin2 2025-06-11

Me pregunto si iOS será seguro...
 
brainer 2025-06-11

P: ¿iOS u otras plataformas también se ven afectadas?
R: Hasta ahora solo se ha confirmado en Android; técnicamente, iOS, escritorio, Smart TV, etc. también podrían correr un riesgo potencial.
 
GN⁺ 2025-06-11
Opiniones de Hacker News

  • Comparten una recopilación de enlaces sobre temas relacionados ya discutidos, reuniendo el problema del rastreo web-a-app y los problemas de privacidad de Meta y Yandex. Se mencionan temas como: consejos de privacidad de The Washington Post (dejar de usar Chrome, borrar las apps de Meta y Yandex), cómo Meta rastreaba en secreto a usuarios de Android a través de Instagram y Facebook, la suspensión en Android de la técnica de rastreo por puertos móviles tras la protesta de investigadores, y la filtración de datos de rastreo mediante WebRTC por parte de Yandex y Meta

  • Recuerdan el caso de 2014 en el que la app de Twitter para Android empezó a enviar a los servidores de Twitter la lista completa de apps instaladas en el dispositivo. Desde entonces, si un servicio puede usarse en navegador, prefieren insistir en la versión web en lugar de la app nativa. No usan Facebook ni Instagram, así que no saben cómo funcionan hoy en día. También recuerdan cómo Facebook Messenger limitaba funciones a propósito en el navegador. Durante la última década, las apps nativas han pedido infinidad de permisos y los usuarios han aceptado sin pensarlo mucho. Se preguntan por qué Facebook debería poder ver su Wi‑Fi o Bluetooth. También existen casos de rastreo de personas en tiendas físicas mediante beacons https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon . Lo triste es que las apps nativas son mucho más cómodas y tienen mejor rendimiento que las web apps

    • Comparten su experiencia de cómo Facebook Messenger fue hecho intencionalmente incómodo en el navegador. También usaban Messenger Lite, pero al final el servicio fue descontinuado. Tienen que seguir usando Facebook por eventos o contactos, pero nunca instalarán la app de Messenger, así que terminan forzándose a usarlo en modo escritorio. En el feed solo les aparecen montones de "recomendado para ti", así que ya no les genera adicción como antes. No entienden por qué parecen querer ahuyentar a los usuarios, pero esa es la sensación real

    • Mencionan que en los últimos años las web apps en sí han sido saboteadas en exceso. La mitad del tiempo están lidiando con popups de "instala la app" y la otra mitad ni siquiera funcionan. Lo más decepcionante es que muchas apps nativas hoy en día son básicamente webviews y ni siquiera usan una UI nativa. Si en la práctica no se diferencian de Safari, entonces que simplemente dejen usar Safari

    • En ese momento pudo parecer exagerado, pero se aferraron solo a la versión de navegador y hasta hoy no se arrepienten. También les sirvió para librarse de distracciones como las notificaciones. Si Apple o Google se tomaran la privacidad en serio, las cosas serían distintas. Si una app no está en F-Droid, simplemente esperan

    • Este tipo de rastreo de apps sigue siendo completamente legal hoy. Todas las apps pueden revisar la lista actual de apps instaladas y las apps ejecutadas recientemente “por motivos de seguridad”. Lo mismo pasa con los contactos. WhatsApp (el único producto de Meta que usan y administran) revisa la información de contactos con intervalos muy cortos y, si detecta cambios, solo sube al servidor esas diferencias. El punto central de esta polémica es que Meta evitó en la web el emparejamiento de usuarios sin pagarle a Google el costo del “cookie matching”

  • Quedó registro de que ingenieros de Meta implementaron este sistema mediante commits de código y que product managers procesaron solicitudes mediante tickets. Sostienen que, así como Facebook recibe multas como porcentaje de sus ingresos, esas personas también deberían asumir responsabilidad personal por una parte proporcional de sus salarios

    • Enfatizan que quienes realmente deberían rendir cuentas son los directivos que permitieron un sistema así

    • Están de acuerdo con la idea, pero no sería correcto que solo los empleados de nivel más bajo cargaran con la responsabilidad mientras la cúpula queda exenta. La responsabilidad debe escalar hacia arriba

    • Esta historia les recuerda una cita famosa de C. S. Lewis. La presentan como una versión moderna de la idea de que “los peores males son planeados por hombres de traje en oficinas limpias y silenciosas”, comparándolo con grandes empresas como Meta

    • Reconocen que éticamente es algo claramente problemático, pero algunos ingenieros construyen cualquier cosa con tal de que les paguen. Si ellos no lo hacen, alguien más lo hará, y a veces también les resulta interesante por el reto técnico. Al final, dicen, la responsabilidad debe recaer en los managers o en quienes ponen el dinero, es decir, la gente de arriba como Zuck, quienes obtienen el dinero y el beneficio; hay que seguir la pista del dinero

    • Se preguntan si la UE realmente puede imponer multas a ingenieros estadounidenses que viven en Estados Unidos

  • No les sorprendería que Meta hiciera algo así. Ya a comienzos de la década de 2010 vigilaba el tráfico HTTPS de la App Store de iOS para identificar con anticipación las apps populares, y así pudo decidir adquirir WhatsApp o Instagram. En la situación actual, creen que la gran apuesta de Zuckerberg es que Meta logre sobrevivir hasta que llegue la próxima plataforma (AR, VR). Si Meta logra controlar una nueva plataforma, ya no tendría que respetar regulaciones razonables y podría extender libremente los tentáculos publicitarios de internet. No es deseable, pero creen que en la práctica hay muchas probabilidades de que lo logren

    • Las empresas quieren muchísimo que AR/VR sea la próxima plataforma, pero dudan que el público general realmente lo quiera, salvo una minoría de fans de los videojuegos. Les genera escepticismo y creen que tendrá una duración similar a la de los lentes 3D del cine

    • En el caso anterior del espionaje en iOS, el usuario tenía que instalar manualmente una VPN distribuida mediante certificado empresarial, algo que no se publica en la App Store. El usuario debía pasar varias advertencias intimidantes de iOS para instalarla, pero aun así mucha gente participó a cambio de pequeñas tarjetas de regalo

    • Meta pudo repetir este tipo de cosas porque, históricamente, las sanciones adecuadas no han logrado frenar a los infractores reincidentes

    • La plataforma VR Quest de Meta ha vendido en total unos 20 millones de unidades, una cifra todavía muy insuficiente para una empresa que necesita una base masiva de usuarios como Facebook. Incluso un producto exitoso como Quest 2 (14 millones de unidades) lleva 9 meses descontinuado. No parece estar ni cerca de un crecimiento explosivo

  • Piensan que el ingeniero que implementó este sistema quizá sea una de las personas que están entre nosotros en Hacker News. Suponen que Zuck no lo programó directamente

    • Aquí, en Hacker News, cuando se pide a los ingenieros que reflexionen éticamente sobre su trabajo, muchas veces responden algo como: “yo solo quiero construir tecnología cool y no me importa para qué la use la empresa”. También existe la actitud cínica de “yo solo soy un code monkey; si el manager me dice que construya el Torment Nexus, lo construyo”

    • Bromean con que Meta necesita IA para implementar cosas así porque la IA no se niega

  • Ven dos problemas. Primero, Android permite que una app abra puertos sin permisos separados. Y además las apps pueden comunicarse entre sí sin permisos separados. Segundo, el navegador permite que cualquier dominio acceda a servicios en localhost. Antes ya hubo problemas de seguridad por acceso a servicios de desarrollo corriendo en localhost. Parece claro que algo debe mejorar

    • Afinando más la separación del problema, el primero es que cualquier app puede escuchar en un puerto sin permiso adicional, y el segundo es que cualquier app puede acceder a puertos locales sin permiso adicional. Dicen que, personalmente, por esta misma razón probaron encerrar el navegador de escritorio dentro de un network namespace. Creen que los sitios web no deberían poder acceder libremente a servicios en localhost

    • Están de acuerdo en que esos dos son problemas técnicos, pero aun existiendo, Facebook no debería hacer algo así

    • Para que una app de Android abra puertos necesita el permiso android.permission.INTERNET. Ese permiso se concede automáticamente al instalar, aunque existen versiones como GrapheneOS donde puede bloquearse por separado. Hasta donde saben, hoy no existe un control más fino del tipo “permitir solo comunicación interna”

    • También existe una propuesta para restringir que los sitios accedan a la red local del usuario sin permiso explícito https://github.com/explainers-by-googlers/local-network-access

  • Si las apps de Facebook o Instagram están instaladas en un teléfono Android, la sesión de la cuenta está iniciada y no se configuró nada para bloquear cosas como píxeles de rastreo, entonces es posible verse afectado por este caso. Les parece especialmente grave la parte que permite saltarse la VPN o el modo incógnito. Mucha gente cree erróneamente que con esos modos ya tiene privacidad total, cuando en realidad el efecto suele parecerse más a abrir una sesión nueva o simular que vienes de otra ubicación

    • Desde la perspectiva de un usuario común, es razonable pensar que usar una VPN y navegación privada debería bastar. Que el navegador se comunique en secreto con las apps del teléfono y vincule todas las acciones con la cuenta del usuario es ir demasiado lejos

    • El rastreo podría empeorar si las apps de Facebook o Instagram realmente quedan activas en segundo plano. Algunos usuarios detestan tanto que las apps sigan ejecutándose en background que prefieren cerrarlas siempre en cuanto terminan de usarlas

  • Señalan que el problema real está en WebRTC. WebRTC debería estar desactivado por defecto o, como mínimo, quedar detrás de un diálogo de solicitud de permisos. Claro, Facebook alegaría que necesita WebRTC activado para ciertas funciones como el chat, y al final el 99% de los usuarios terminaría aceptándolo

  • No entienden por qué Meta sintió la necesidad de llegar tan lejos. Ya existen técnicas de rastreo como el fingerprinting, así que no parecía necesario asumir este riesgo extra. Sospechan que este método sirve como conjunto de prueba para evaluar qué tan bien funcionan otras técnicas de rastreo, o como una opción de respaldo para cambiar de método en cuanto alguna técnica quede expuesta o parcheada. Seguir usando un método tan fácil de descubrir les parece realmente estúpido

    • Dicen que este comportamiento existe porque la empresa opera con una mentalidad sociópata. Cuando se les dice “no se puede”, lo convierten en un desafío y se esfuerzan por lograrlo sin que los descubran

  • Mencionan que la explicación de que “el script de Meta Pixel transfiere la cookie _fbp a la app nativa de Instagram o Facebook mediante WebRTC (STUN) SDP Munging” es un hack verdaderamente absurdo

    • Se preguntan cómo fue posible que algo así recibiera aprobación