Localhost tracking es una técnica de rastreo digital que explota la dirección de red local (127.0.0.1) de dispositivos Android para vincular la navegación web con identidades reales de usuarios, revelando su identidad real a partir de su navegación web en secreto.
Investigadores de IMDEA Networks (España), Radboud University (Países Bajos) y KU Leuven (Bélgica) descubrieron que Meta a través de aplicaciones nativas –como Facebook, Instagram y WhatsApp– y varias aplicaciones de Yandex –como Maps y el navegador– rastreaban silenciosamente a los usuarios mediante esta técnica. Los resultados de la investigación se detallan en el paper Bridges to Self: Silent Web-to-App Tracking on Mobile via Localhost, presentado en el USENIX Security Symposium 2026. El sitio web del proyecto ofrece más recursos.
Las aplicaciones nativas de Android reciben metadatos, cookies y comandos de los navegadores desde scripts de seguimiento web integrados en millones de páginas web, como Meta Pixel y Yandex Metrica. Estos JavaScripts se cargan en los navegadores móviles de los usuarios y se conectan silenciosamente con las aplicaciones nativas que se ejecutan en el mismo dispositivo mediante sockets locales. Dado que las aplicaciones nativas acceden a identificadores de dispositivo como el ID de publicidad de Android (AAID) o gestionan identidades de usuario (por ejemplo, cuentas de Meta), esta técnica de rastreo permite vincular cookies web y sesiones de navegación con perfiles reales, revelando qué sitios visita el usuario –incluso en modo incógnito o con VPC– sin su conocimiento ni consentimiento.
El funcionamiento, a grandes rasgos, es el siguiente: si tiene instalada una aplicación de Meta (como Instagram o Facebook) en su dispositivo Android y ha iniciado sesión, aunque la aplicación esté en segundo plano, sigue activa y puede «escuchar» conexiones en puertos locales. Si, posteriormente, abre Chrome y visita una página web con Meta Pixel, el script de seguimiento envía datos a través de la red local del dispositivo hacia la aplicación. Esta recibe esos datos y los asocia con su identidad real. De esta forma, Meta puede saber qué sitios ha visitado, y ello sin que sea consciente ni haya dado su consentimiento.
Tras la revelación pública el 3 de junio de 2025, tanto Meta como Yandex eliminaron el código de rastreo en cuestión de horas.
Se ha comprobado que los usuarios de dispositivos Apple, así como aquellos que utilizan navegadores como Brave o motores de búsqueda como DuckDuckGo han estado mayormente protegidos frente a este tipo de rastreo, ya que estas plataformas bloquean o limitan las conexiones locales no autorizadas.
Repercusión pública
En Estados Unidos, los congresistas Jan Schakowsky, Kathy Castor y Doris Matsui enviaron una carta a Meta el 9 de diciembre de 2025, exigiendo respuestas sobre datos sensibles recolectados y posibles violaciones de protecciones de privacidad Android.
En España, se han anunciado investigaciones por el parte del Gobierno y el Congreso de los Diputados que, a petición del grupo socialista, ha pedido la comparecencia en la Comisión de Economía del director de Políticas Públicas en España y Portugal de Meta, José Luis Zimmermann.
No hay evidencia de una investigación formal iniciada por la Comisión Europea específicamente sobre este rastreo en Android. Esperemos que mueva ficha pronto.
Por el momento, se han presentado demandas en Estados Unidos, Canadá y Alemania.
Conclusión
El RGPD exige transparencia y un consentimiento válido e informado para cualquier tratamiento de datos personales. Meta y Yandex operaban de manera opaca, vulnerando los principios de minimización, limitación de la finalidad y protección por defecto. Por tanto, han vulnerado el RGPD.
También han vulnerado la directiva ePrivacy, que prohíbe el acceso no autorizado a la información almacenada en los dispositivos de los usuarios, la Ley de Mercados Digitales (DMA) y la Ley de Servicios Digitales (DSA) que prohíben expresamente que las grandes plataformas digitales (gatekeepers) combinen datos personales entre servicios principales sin consentimiento explícito y granular del usuario. Meta estaba obligada a solicitar tres consentimientos diferenciados: para tratar datos personales (RGPD), para acceder al dispositivo (ePrivacy) y para combinar perfiles entre servicios (DMA).
