Icono del sitio INVDES

El navegador interno de TikTok e Instagram puede monitorear la actividad de los usuarios

El navegador interno de TikTok e Instagram puede monitorear la actividad de los usuarios

Las empresas aseguran utilizar los buscadores integrados únicamente para brindar una “experiencia de usuario óptima” y niegan recopilar información con estos

TikTok, Instagram y Facebook pueden potencialmente rastrear cualquier actividad realizada en las páginas web abiertas con el navegador interno de las aplicaciones. Así lo determinaba la semana pasada el investigador austríaco en seguridad y privacidad Felix Krause en el último informe publicado en su blog. “Algunas aplicaciones, como Instagram y Facebook, inyectan código JavaScript en sitios web de terceros que causa potenciales riesgos para la seguridad y privacidad del usuario”, aseguraba el experto.

El rastreo se produciría de forma sencilla. Cuando los usuarios acceden a un sitio web a través de un enlace dentro de la aplicación se inserta un código de programación. Este permite monitorear gran parte de la actividad en esas webs externas, como los botones que se pulsan desde la pantalla o las compras que se realizan. El código también facilita que las apps modifiquen el contenido que se visualiza: desde agregar códigos de seguimiento hasta crear nuevos elementos HTML. Según ha destacado el investigador, tanto TikTok como Instagram y Facebook permiten esta opción.

El código JavaScript permite visualizar los botones que se pulsan desde la pantalla

En el caso de TikTok, Krause detectó que esta puede ver cada texto que se escribe en una web abierta con el navegador integrado, así como cada botón, enlace o imagen que se toca en pantalla. “Esto puede incluir contraseñas, información de tarjetas de crédito y otros datos confidenciales del usuario”, alertó el investigador. Además, a diferencia de Instagram y Facebook, esta app no brinda la posibilidad de abrir los enlaces en el buscador por defecto, lo cual limita la libertad de actuación y obliga a utilizar su navegador interno si se quiere consultar el contenido compartido.

Pese a todos los potenciales peligros contra la privacidad de los consumidores, el uso de este código en sitios web externos “no significa que esté haciendo algo malicioso”, destacó el mismo Krause. En este sentido, el investigador insistió en que no hay forma de saber los detalles completos sobre qué tipo de datos recopila cada navegador, o cómo los datos se utilizan o si se transfieren a terceros. Finalmente, el informe tampoco revelaba si alguna de las actividades está vinculada a la identidad o el perfil de un usuario. Con todo, la posibilidad aún existe. Para evitar este potencial riesgo, el experto ha recomendado abrir cualquier enlace en un navegador externo a la aplicación, ya sea porque esta lo permite o de forma manual -copiando y pegando el enlace en los buscadores disponibles en el dispositivo-.

«Que una aplicación inyecte JavaScript en sitios web externos no significa que esté haciendo algo malicioso»

Meta, la empresa propietaria de Instagram y Facebook, admitió estar ejecutando este código. No obstante, aseguró que si lo usan es para respetar las decisiones de los consumidores en torno a la política de Apple que busca impedir que las aplicaciones rastreen a los usuarios. Krause manifestó por Twitter su disconformidad con la respuesta proporcionada por la empresa, asegurando que en otras aplicaciones de la misma, como Whatsapp, “operan perfectamente sin la necesidad de un buscador interno”.

Por su parte, TikTok también ha admitido el uso de dicho código en su buscador interno. Sin embargo, han negado hacer uso de las funciones que este permite. “Al igual que otras plataformas, usamos un navegador integrado la aplicación para brindar una experiencia de usuario óptima, pero el código JavaScript en cuestión se usa solo para depurar, solucionar problemas y supervisar el rendimiento de esa experiencia -como verificar cómo de rápido carga una página o si falla-”, declaró la portavoz de la aplicación Maureen Shanahan.

Fuente: lavanguardia.com

Salir de la versión móvil