Meta pagó 32.000M€ por rastrearte vía localhost

Meta utilizó el puerto localhost de tu Android para rastrear cada web que visitabas, incluso en modo incógnito. El coste potencial de esta práctica: 32.000 millones de euros en multas.

Por qué importa

Cuando creías que borrar cookies o usar modo incógnito te protegía, Meta ya había encontrado un agujero. Su Pixel JavaScript escribía un identificador (_fbp) en el puerto localhost de tu navegador, y las apps de Facebook o Instagram lo leían directamente desde el sistema operativo. Así vinculaban tus visitas web anónimas con tu perfil real.

Este método no solo violaba la privacidad prometida por Android —que aísla apps y navegadores—, sino que funcionaba incluso si no tenías sesión iniciada en Facebook. Cualquier sitio con el Pixel de Meta se convertía en un espía silencioso.

Qué dice el contexto

• El investigador Citizen8 documentó que el Pixel envía el _fbp al puerto localhost junto con la URL, metadatos del navegador y el tipo de evento (PageView, AddToCart, etc.).
• Las apps de Facebook e Instagram recogen ese identificador y lo envían como una mutación GraphQL a sus servidores, enlazándolo con tu ID de usuario persistente.
• La técnica funciona incluso en modo incógnito y tras borrar cookies, según el informe académico "Covert Web-to-App Tracking via Localhost".
• Tras ser revelado en junio de 2025, Meta detuvo la práctica, pero el daño potencial bajo el GDPR podría alcanzar los 32.000 millones de euros.
• El caso recuerda al escándalo de 2014-2015, cuando Facebook cargaba una dylib por nombre en iOS para espiar.

Lo que puedes hacer

1. Desinstala las apps de Facebook e Instagram de tu móvil. Usa sus versiones web en un navegador con bloqueo de rastreadores (como Firefox Focus o Brave).
2. Revisa qué sitios web usan el Pixel de Meta. Extensiones como Privacy Badger o uBlock Origin pueden bloquearlo.
3. Si eres desarrollador, audita tu código para asegurarte de que ningún script escribe en localhost sin consentimiento explícito del usuario.