El fundador de Fastlane, Felix Krause, ha revelado(Se abre en una nueva ventana) que los navegadores integrados en aplicaciones de Facebook e Instagram inyectan JavaScript en sitios web de terceros.
Krause dijo originalmente que los navegadores en la aplicación estaban inyectando Meta Pixel, que Meta describe(Se abre en una nueva ventana) como «un fragmento de código JavaScript que le permite rastrear la actividad de los visitantes en su sitio web», pero desde entonces ha actualizado su informe para decir que las aplicaciones móviles de la empresa de redes sociales están inyectando un script identificado como «pcm.js(Se abre en una nueva ventana)» en cambio. Un comentario dentro de ese guión explica que fue «desarrollado para respetar la privacidad de las personas y [App Tracking Transparency] opciones» mientras usan Facebook e Instagram.
App Tracking Transparency es un marco que Apple presentó con iOS 14.5 que requiere que los desarrolladores soliciten permiso para recopilar datos de seguimiento de sus usuarios. Meta ha criticado repetidamente el marco y les dijo a los usuarios de Facebook e Instagram que se basa en el seguimiento de datos, o al menos en los ingresos publicitarios que respalda, para mantener sus servicios gratuitos. Sin embargo, sus aplicaciones aún tienen que cumplir con las solicitudes de los usuarios para no ser rastreadas, y la compañía dice que es por eso que sus navegadores inyectan el script «pcm.js».
«Este código se inyecta en los navegadores de la aplicación para ayudar a agregar eventos de conversión de la configuración de píxeles por parte de las empresas en su sitio web, antes de que esos eventos se utilicen con fines publicitarios o de medición», dice Meta en un comentario sobre el guión. «No se rastrea ninguna otra actividad del usuario con este javascript».
Krause dice que «inyectar scripts personalizados en sitios web de terceros les permite monitorear todas las interacciones de los usuarios, como cada botón y enlace presionado, selecciones de texto, capturas de pantalla, así como cualquier entrada de formulario, como contraseñas, direcciones y números de tarjetas de crédito». Señala que Meta no parece estar haciendo nada tan malicioso, pero la compañía aún ha criticado el informe, y el director de comunicaciones de políticas de Meta, Andy Stone, dijo en Twitter:
Abundan las preguntas sobre la decisión de Meta de inyectar JavaScript a través de los navegadores integrados en la aplicación de Facebook e Instagram. Krause dice que informó este comportamiento a través del programa de recompensas por errores de Meta, se le dijo a las pocas horas que los ingenieros de Meta podían reproducir el «problema» y luego… no supo nada durante aproximadamente 11 semanas. No está claro por qué Meta no ofreció información adicional sobre esta práctica (o por qué caracterizó la inyección de JavaScript como un «problema») hasta después de que Krause publicara su informe.
Meta respondió a una solicitud de comentarios con la siguiente declaración: «Estas afirmaciones son falsas y tergiversan cómo funcionan el navegador en la aplicación de Meta y Pixel. Desarrollamos intencionalmente este código para honrar las opciones de Transparencia de seguimiento de aplicaciones de las personas en nuestras plataformas». Sin embargo, esa declaración se proporcionó después de que Krause actualizó su informe para decir que los navegadores en la aplicación no están inyectando el Meta Pixel, y la solicitud inicial de comentarios mencionó específicamente el script «pcm.js».
Recomendado por Nuestros Editores
La compañía no respondió de inmediato a una solicitud de información adicional sobre qué tipo de datos se recopilan a través del script «pcm.js», cómo el script evita que los datos de eventos del Meta Pixel se utilicen con fines de seguimiento o si Facebook y los navegadores integrados en la aplicación de Instagram también inyectan otros scripts.
Por ahora, parece que Meta ha creado un sistema que requiere que se involucre a sabiendas en un comportamiento cuestionable, inyectando secuencias de comandos personalizadas en cada sitio web de terceros visitado por los más de mil millones de usuarios de Facebook e Instagram a través de sus navegadores en la aplicación, solo para cumplir con sus solicitudes no para ser rastreado.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.