Facebook e Instagram pueden rastrear a los usuarios a través de sus navegadores in-app

Rubén Castro, 13 agosto 2022

Si vas a la página web de Facebook o Instagram, lo más probable es que te lleve a un navegador especializado dentro de la aplicación. Según los hallazgos del investigador Felix Krause, estos navegadores permiten que se filtre código JavaScript en cada sitio web visitado, lo que permite a Meta vigilarte mientras vas de un sitio a otro.


“La aplicación de Instagram inyecta código de seguimiento en cada sitio web que se muestra, incluso cuando se hace clic en los anuncios”, dijo Krause en una entrada de blog. “Esto les permite monitorear todas las interacciones del usuario”, dijo Krause, “incluyendo cada botón y enlace tocado, selecciones de texto, capturas de pantalla y entradas de formularios como contraseñas, direcciones y números de tarjetas de crédito”.

Su investigación para iOS incluyó Facebook e Instagram. Los usuarios tienen la opción de participar o no en la monitorización de aplicaciones al lanzar una aplicación gracias a la función App Monitoring Transparency (ATT) de Apple, que se introdujo en iOS 14.5. Meta predijo que la implantación de esta función costará 10.000 millones de dólares en el año 2022.

Según Meta, se respetaron las opciones de seguimiento de los suscriptores de ATT. Según un representante que habló con The Guardian, “la programación nos permite agregar los datos de los usuarios”. “No hay píxeles. El código inyectado recoge los eventos de conversión de los píxeles. Cuando hagas una compra dentro de la app, te pediremos tu consentimiento para autocompletar tu información de pago.”

Según Krause, no hay garantía de que Facebook esté recopilando datos sensibles mediante el uso de la inyección de javascript. Si las aplicaciones lanzaran Safari o Firefox, sería difícil inyectar javascript en un sitio web protegido. Según él, los navegadores in-app que están disponibles en Instagram y Facebook pueden “funcionar para cualquier sitio web, cifrado o no”.

Según la investigación de Krause, el uso de WhatsApp no tiene ningún efecto en los sitios web que no son propiedad de WhatsApp. Se recomienda a Meta realizar la misma acción con Facebook e Instagram, o en su defecto, utilizar Safari u otro navegador web para abrir los enlaces. “Funciona bien para el cliente”. Puedes leer sus conclusiones aquí.