Las aplicaciones de Facebook e Instagram pueden rastrear a los usuarios a través de sus navegadores integrados
Si visitas un sitio web que ves en Facebook e Instagram, probablemente hayas notado que no se te redirige al navegador de tu elección, sino a un navegador integrado en la aplicación. Estos navegadores inyectan código javascript en cada sitio web que visita, lo que permite que el Meta principal lo rastree a través de los sitios web, descubrió el investigador Felix Krause.
"La aplicación de Instagram inyecta su código de seguimiento en cada sitio web visitado, incluso cuando hace clic en los anuncios, lo que les permite monitorear todas las interacciones de los usuarios, como cada botón y enlace tocado, selecciones de texto, capturas de pantalla y todas las entradas de formularios, como contraseñas, direcciones y números de tarjetas de crédito”, dijo Krause en una publicación de blog.
Su investigación se centró en las versiones iOS de Facebook e Instagram. Esto es clave porque Apple permite a los usuarios activar o desactivar el seguimiento de aplicaciones cuando abren una aplicación por primera vez, a través de su App Tracking Transparency (ATT) introducida en iOS 14.5. Meta dijo anteriormente que la característica era "un viento en contra para nuestro negocio de 2022... en el rango de $10 mil millones".
Meta dijo que el código de seguimiento inyectado obedecía las preferencias del usuario en ATT. "El código nos permite agregar datos de usuarios antes de usarlos con fines publicitarios o de medición", dijo un portavoz a The Guardian. "No agregamos ningún píxel. El código se inyecta para que podamos agregar eventos de conversión a partir de los píxeles. Para las compras realizadas a través del navegador integrado en la aplicación, solicitamos el consentimiento del usuario para registrar la información de pago con fines de autocompletar".
Krause señaló que Facebook no utiliza necesariamente la inyección de JavaScript para recopilar datos confidenciales. Sin embargo, si las aplicaciones abrieran el navegador preferido del usuario como Safari o Firefox, no habría manera de hacer una inyección de javascript similar en un sitio seguro. En contraste, el enfoque utilizado por los navegadores de Instagram y Facebook "funciona para cualquier sitio web, ya sea que esté encriptado o no", dijo.
Según una investigación de Krause, WhatsApp no modifica los sitios web de terceros de la misma manera. Como tal, sugiere que Meta haga lo mismo con Facebook e Instagram, o simplemente use Safari u otro navegador para abrir enlaces. "Es lo mejor para el usuario y lo correcto". Para obtener más información, consulte el resumen de sus hallazgos aquí.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado.
Si visitas un sitio web que ves en Facebook e Instagram, probablemente hayas notado que no se te redirige al navegador de tu elección, sino a un navegador integrado en la aplicación. Estos navegadores inyectan código javascript en cada sitio web que visita, lo que permite que el Meta principal lo rastree a través de los sitios web, descubrió el investigador Felix Krause.
"La aplicación de Instagram inyecta su código de seguimiento en cada sitio web visitado, incluso cuando hace clic en los anuncios, lo que les permite monitorear todas las interacciones de los usuarios, como cada botón y enlace tocado, selecciones de texto, capturas de pantalla y todas las entradas de formularios, como contraseñas, direcciones y números de tarjetas de crédito”, dijo Krause en una publicación de blog.
Su investigación se centró en las versiones iOS de Facebook e Instagram. Esto es clave porque Apple permite a los usuarios activar o desactivar el seguimiento de aplicaciones cuando abren una aplicación por primera vez, a través de su App Tracking Transparency (ATT) introducida en iOS 14.5. Meta dijo anteriormente que la característica era "un viento en contra para nuestro negocio de 2022... en el rango de $10 mil millones".
Meta dijo que el código de seguimiento inyectado obedecía las preferencias del usuario en ATT. "El código nos permite agregar datos de usuarios antes de usarlos con fines publicitarios o de medición", dijo un portavoz a The Guardian. "No agregamos ningún píxel. El código se inyecta para que podamos agregar eventos de conversión a partir de los píxeles. Para las compras realizadas a través del navegador integrado en la aplicación, solicitamos el consentimiento del usuario para registrar la información de pago con fines de autocompletar".
Krause señaló que Facebook no utiliza necesariamente la inyección de JavaScript para recopilar datos confidenciales. Sin embargo, si las aplicaciones abrieran el navegador preferido del usuario como Safari o Firefox, no habría manera de hacer una inyección de javascript similar en un sitio seguro. En contraste, el enfoque utilizado por los navegadores de Instagram y Facebook "funciona para cualquier sitio web, ya sea que esté encriptado o no", dijo.
Según una investigación de Krause, WhatsApp no modifica los sitios web de terceros de la misma manera. Como tal, sugiere que Meta haga lo mismo con Facebook e Instagram, o simplemente use Safari u otro navegador para abrir enlaces. "Es lo mejor para el usuario y lo correcto". Para obtener más información, consulte el resumen de sus hallazgos aquí.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado.
What's Your Reaction?
