Si visita un sitio web que ve en Facebook e Instagram, es probable que haya notado que no se le redirige al navegador de su elección, sino a un navegador personalizado en la aplicación. Resulta que esos navegadores inyectan código javascript en cada sitio web visitado, lo que permite a Meta padre potencialmente rastrearlo a través de los sitios web, descubrió el investigador Felix Krause.
«La aplicación de Instagram inyecta su código de seguimiento en cada sitio web que se muestra, incluso al hacer clic en los anuncios, lo que les permite [to] monitorear todas las interacciones de los usuarios, como cada botón y enlace presionado, selecciones de texto, capturas de pantalla, así como cualquier entrada de formulario, como contraseñas, direcciones y números de tarjetas de crédito», dijo Krause en una publicación de blog.
Su investigación se centró en las versiones iOS de Facebook e Instagram. Esa es la clave porque Apple permite a los usuarios activar o desactivar el seguimiento de aplicaciones cuando abren una aplicación por primera vez, a través de su App Tracking Transparency (ATT) introducida en iOS 14.5. Meta ha dicho anteriormente que la función era «un obstáculo para nuestro negocio en 2022… del orden de 10.000 millones de dólares».
Meta dijo que el código de seguimiento inyectado obedecía a las preferencias de los usuarios en ATT. «El código nos permite agregar datos de usuarios antes de usarlos con fines publicitarios o de medición», dijo un portavoz. El guardián. «No agregamos ningún píxel. El código se inyecta para que podamos agregar eventos de conversión de píxeles. Para las compras realizadas a través del navegador en la aplicación, buscamos el consentimiento del usuario para guardar la información de pago con el fin de autocompletar».
Krause señaló que Facebook no está necesariamente usando la inyección de JavaScript para recopilar datos confidenciales. Sin embargo, si las aplicaciones abrieran el navegador preferido de los usuarios, como Safari o Firefox, no habría forma de realizar una inyección de JavaScript similar en ningún sitio seguro. Por el contrario, el enfoque utilizado por los navegadores de aplicaciones de Instagram y Facebook «funciona para cualquier sitio web, sin importar si está encriptado o no», dijo.
Según la investigación de Krause, WhatsApp no modifica los sitios web de terceros de manera similar. Como tal, sugiere que Meta debería hacer lo mismo con Facebook e Instagram, o simplemente usar Safari u otro navegador para abrir enlaces. «Es lo mejor para el usuario y lo correcto». Para obtener más información, consulte el resumen de sus hallazgos aquí.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado.