Un investigador especializado en asuntos de seguridad y privacidad ha descubierto que las redes sociales más exitosas son capaces de espiar nuestra actividad online. Su análisis puede que no suponga una sorpresa mayúscula dentro del sector, pero sí debería ser tenido en cuenta por los usuarios.
Uno de los pilares que sostiene nuestra vida digital es la confianza que depositamos en los servicios que usamos a diario. ¿Qué ocurriría si nos enterásemos de que TikTok e Instagram pueden rastrear nuestro comportamiento e incluso, en teoría, hasta ‘robar’ contraseñas?
El análisis que ha hecho saltar todas las alarmas
Felix Krause está especializado en el sector de la seguridad y la privacidad online, sobre todo en entornos iOS, el sistema operativo para dispositivos móviles de Apple. Es conocido también por ser el fundador de fastlane, una herramienta de código abierto que ahorra bastantes fastidios a la hora de publicar aplicaciones tanto en la App Store como en Google Play.
La polémica saltó el pasado mes de agosto cuando desveló en su blog que los navegadores internos (in-app) de aplicaciones de redes sociales como Instagram y Facebook permitían a Meta rastrear nuestra actividad. Tras la gran repercusión de su análisis en los medios, amplió su estudio a otras plataformas como TikTok, con idénticos e incluso peores resultados.
Apple y Google ponen barreras para que nada de lo que ocurre en apps descargadas en sus sistemas operativos escape de su control, pero a veces resulta imposible. Mientras Spotify, WhatsApp, Slack y Twitch, por ejemplo, recurren a navegadores oficiales como Safari y Chrome para abrir hipervínculos, Instagram, Facebook y TikTok implementan los suyos propios.
Instagram y Facebook, bajo sospecha
Ahí reside, en concreto, el ‘truco’ que permite a las redes sociales reconocer nuestros movimientos. En sus navegadores in-app, que se activan al pulsar el usuario sobre un link de terceros desde una publicación, un anuncio o un mensaje directo, Instagram y Facebook inyectan un código JavaScript que modifica su funcionamiento y apariencia.
Para reconocer en qué consiste, Krause creó inAppBrowser.com, una página open source que analiza el código externo a la propia web. Sus conclusiones son alarmantes: estas redes sociales podrían detectar cada toque que hace el usuario, sea este en una imagen, un enlace o en otros componentes como la selección de un campo de texto.
Meta ha reconocido que ejecutan este ‘pcm.js’. Su argumento es que se usa para respetar la ‘App Tracking Transparency’ (ATT) de Apple, táctica que la corporación define como monopolista y a la que acusa de haberles supuesto enormes pérdidas. En declaraciones a ‘Xataka’, un portavoz de la compañía defendió los navegadores internos como habilitadores de “experiencias seguras, cómodas y confiables”.
TikTok tiene aún más capacidad de supervisión
En la ampliación de su análisis, Krause incluyó sus averiguaciones sobre TikTok, una red social que ni siquiera permite abrir páginas con el navegador por defecto, aunque esta opción sea menos intuitiva, como sucede en Facebook e Instagram. El resultado arrojado por inAppBrowser.com es incluso más preocupante.
Siempre según los datos aportados por Krause, ByteDance cuenta con una función capaz de detectar los toques de teclado que efectuemos. Esto, sobre el papel, permitiría que TikTok pudiese conocer nuestras contraseñas o información bancaria, siempre que lo hagamos a través de su navegador.
En un artículo de ‘Forbes’, la compañía reconoció la existencia de esta inyección de código. Sin embargo, su portavoz Maureen Shanahan defendió que su uso se circunscribe a la depuración y solución de problemas de rendimiento. En ‘Xataka’, un representante para España elevó el tono, calificando las conclusiones de este informe como “incorrectas y engañosas”.
Evaluando la gravedad del informe
Es lógico desconfiar cuando compañías de tal escala pueden monitorizar sin consentimiento nuestra actividad dentro de sus redes. Sobre todo tras graves crisis de reputación como los ‘Facebook papers’ que se confirmaron ante el Senado de Estados Unidos y la reciente brecha de datos de TikTok, protagonista, además, de continuos enfrentamientos con los legisladores.
Tal como el mismo Krause reconoce, que una aplicación inyecte código en webs externas y pueda recabar una serie de datos sobre nuestra navegación no implica que esté haciendo algo malicioso. Sin embargo, como la posibilidad existe, esta información debe ser pública para que sea el usuario quien decida cómo comportarse en dichas redes.
Mientras se esclarecen los hechos mediante una investigación en profundidad, ¿qué podemos hacer para asegurarnos de que nuestra navegación es segura? En Facebook e Instagram es recomendable abrir enlaces en Safari y Chrome o mantener la pulsación sobre el mismo para copiarlo y pegarlo. Si no funciona, como en el caso de TikTok, otra opción sería teclear la dirección de forma manual o buscarla en nuestro navegador de confianza.
Por Pablo Vinuesa
Imágenes | Portada, fotografía de Anton en Pexels. Interiores, creaciones de Felix Krause para su blog.