TikTok e Instagram tienen navegadores internos con los que pueden saber qué escribes o en qué pinchas, pero prometen no espiarte

Fue una de las revelaciones que más impacto causó este verano. El desarrollador e investigador de software alemán Felix Krause desveló hace unas semanas en su blog cómo el uso de navegadores internos de determinadas aplicaciones podrían conllevar un serio riesgo para la seguridad y privacidad de los usuarios. Después concretó su acusación con dos ejemplos: TikTok e Instagram.

En los dispositivos móviles, además de la aplicación para navegar por internet por defecto (Safari suele ser la habitual en el ecosistema iPhone, mientras que hay versiones de Chrome o Firefox tanto para iOS como para Android), muchas apps suelen incluir navegadores internos. De esta manera, si pinchas en un enlace en Facebook, no se tiene que abrir el navegador predeterminado.

Por el contrario, se abre un navegador interno desarrollado por Meta (propietaria de Facebook). Krause explicitó en su artículo cómo los navegadores internos de apps como TikTok o la propia Instagram acaban inyectando códigos JavaScript en las páginas de terceros por las que acabes navegando.

De esta manera, TikTok, por ejemplo, puede saber por dónde navegas de esa web, dónde pinchas e incluso qué escribes, como si se tratara de un keylogger. Los keylogger son herramientas muy utilizadas por ciberdelincuentes: las instalan en los dispositivos de sus víctimas y registran todo lo que las mismas escriben. De esta manera, pueden descubrir incluso contraseñas y credenciales.

El navegador interno de Meta también incluye un código que registra cada vez que pinchas o seleccionas texto de una web que estás consultando.

Los datos son el petróleo que empresas y gobiernos necesitan, aunque la privacidad ya se ha convertido en un debate global: así hemos llegado hasta aquí

Las tecnológicas señaladas reaccionaron al momento. TikTok, por su parte, aseguró que ese código les permitía depurar y revisar el rendimiento de su navegador interno, mientras que Meta defendió que ese código tiene como propósito asegurarse de que se respeta en iPhone la funcionalidad App Tracking Transparency que impide a las plataformas rastrear tus hábitos en todo el dispositivo.

Otras firmas como Snap (propietaria de Snapchat) o LinkedIn no ejecutan este tipo de códigos en sus navegadores internos, aunque también defendieron la existencia de dichos navegadores para garantizar que la navegación de sus usuarios sea lo más segura posible cuando acceden al sitio de un tercero desde sus plataformas.

Ahora es The Washington Post quien ha consultado a varios expertos sobre los riesgos que entrañan este tipo de prácticas de grandes plataformas para la privacidad de sus usuarios. Uno de los primeros en contestar es el propio Krause, autor de estos hallazgos. 

Considera que el mero hecho de que Meta o TikTok abran enlaces con sus navegadores supone en sí mismo una falta de transparencia. TikTok, que históricamente ha sufrido miradas suspicaces por el sector de la ciberseguridad debido a sus vínculos con China, lleva un tiempo tratando de seducir a los expertos, incluso con fiestas.

"El problema con esto es que tú eliges Instagram para compartir fotos y hablar con amigos, no para que se convierta en tu navegador", destaca. Patrick Jackson, jefe de Tecnología de Disconnect, una firma especializada en privacidad, considera que "recopilar datos" sobre la actividad de los usuarios en las página que abren con sus navegadores puede ser "una bendición" para estas compañías.

"Estas compañías operan con los datos personales como su principal fuente de ingresos. Es habitual en ellas que intenten ir más allá de los límites para seguir recopilándolos, e incluso que hagan cosas de las que los usuarios no son conscientes", enfatiza el CTO de Disconnect. "Simplemente, ya no se puede confiar ciegamente en estas empresas".

Muchos de los códigos JavaScript que ejecutan los navegadores internos de apps como TikTok o Instagram se han detectado en sus versiones iOS. Tanto en iPhone como en Android, la solución más sencilla para esquivar estos mecanismos oscuros es mantener pulsado un enlace en tu terminal hasta que se abra el menú desplegable, y elegir abrir el mismo a través de tu navegador de confianza.