Por qué nunca deberías usar el navegador interno de las apps de Instagram y Facebook

Un desarrollador ha descubierto uno de los grandes peligros de utilizar los navegadores integrados en estas dos populares aplicaciones

Por qué nunca deberías usar el navegador interno de las apps de Instagram y Facebook

Desde hace años, es muy común ver cómo muchas de las aplicaciones que la mayoría de personas utilizamos en nuestro día a día, cuentan con navegadores integrados que permiten abrir enlaces a sitios web sin necesidad de abandonar la aplicación. Es el caso de Facebook, Instagram, Twitter y de la mayoría de redes sociales.

Sin embargo, utilizar este tipo de navegadores integrados podría no ser una buena idea. Al menos, si te preocupa preservar tu privacidad y tienes miedo de que tus datos sensibles acaben en manos indeseadas.

El desarrollador detrás de la plataforma Fastlane, Felix Krause, ha descubierto revisando la actividad del navegador integrado en las apps de Facebook e Instagram que la aplicación tiene la capacidad de monitorizar y registrar básicamente cualquier actividad que se lleve a cabo en ellos. Esto incluye la posibilidad de extraer datos como las contraseñas que se introducen en las páginas web a través de estos navegadores.

App de Instagram en un móvil Android

La aplicación de Instagram en un smartphone Android.

Instagram y Facebook pueden registrar todo lo que haces en las páginas web a través de sus navegadores

La investigación se ha llevado a cabo utilizando las aplicaciones de Instagram y Facebook para iOS, pero no se descarta que pudieran estarse llevando a cabo prácticas similares a través de la versión de las apps dirigidas a Android.

Krause explica que las apps de Facebook e Instagram para iOS utilizan navegadores propios en sus aplicaciones para cargar tanto los anuncios como cualquier enlace presente en la plataforma, siempre que dirija a un sitio web de terceros.

¿Has recibido este mensaje en Instagram? Ten cuidado: están intentando robarte la cuenta

Al tener el control total sobre el navegador, las apps tienen la capacidad de monitorizar todo lo que sucede en los sitios web y las actividades realizadas por el usuario. Para ello, se inyecta código de JavaScript en cada una de las páginas que se muestran, independientemente de si usan, o no, algún método de cifrado.

La inyección de scripts personalizados en sitios web de terceros les permite supervisar todas las interacciones de los usuarios, como cada botón y enlace pulsado, selecciones de texto, capturas de pantalla, así como cualquier entrada de formularios, como contraseñas, direcciones y números de tarjetas de crédito.

El investigador incluso ha compartido el script que las apps de Meta inyectan en las páginas web para llevar a cabo este tipo de monitorización, y explica que, si bien gracias a él tiene la capacidad de registrar todo lo que el usuario hace en las páginas web a las que se accede a través del navegador integrado, no se ha podido demostrar qué tipo de datos se obtienen realmente, ni si Meta está aprovechando estas técnicas para extraer información sensible.

No tengo una lista de los datos precisos que Instagram envía de vuelta. Sí tengo pruebas de que la aplicación de Instagram y Facebook ejecutan activamente comandos de JavaScript para inyectar un SDK de JavaScript adicional sin el consentimiento del usuario, así como realizar el seguimiento de las selecciones de texto del usuario.

¿Cómo puedes protegerte de este tipo de monitorización?

La única parte positiva que podemos extraer de esta historia, es que, al menos, es fácil evitar este tipo de monitorización que dos de las aplicaciones más usadas del mundo podrían llevar a cabo sin ningún tipo de aviso previo ni permiso expreso por parte del usuario.

Pues, aunque no se haya podido comprobar que, efectivamente, Meta esté recopilando datos sensibles de los usuarios mediante estas técnicas, ha quedado más que claro que tiene la capacidad de hacerlo. Y nadie asegura que otras aplicaciones con navegadores integrados no lleven a cabo prácticas similares.

Así puedes saber si tu cuenta de Facebook ha sido hackeada, incluso aunque ya no la uses

El proceso para evitar este tipo de rastreo es sencillo, y se puede llevar a cabo tanto en Android como en iOS: tras acceder a un enlace o pulsar sobre un anuncio dentro de Instagram o Facebook, basta con tocar el icono de menú (tres puntos verticales en la esquina superior derecha), y después elegir la opción "abrir con el navegador".

Por qué nunca deberías usar el navegador interno de las apps de Instagram y FacebookPor qué nunca deberías usar el navegador interno de las apps de Instagram y Facebook
Por qué nunca deberías usar el navegador interno de las apps de Instagram y FacebookPor qué nunca deberías usar el navegador interno de las apps de Instagram y Facebook

Asimismo, expertos en la materia como Brendan Eich, creador del lenguaje de programación JavaScript con mucha experiencia en esto de los navegadores (fue director de Mozilla Firefox, y actualmente es CEO de Brave), sugieren utilizar las versiones web de plataformas como Instagram y Facebook en lugar de sus aplicaciones, con el objetivo de evitar este tipo de técnicas.

Queremos saber tu opinión. ¡Comenta!
Para ti