Hay una web de una universidad holandesa. Un profesor entra desde su móvil Android. No tiene Facebook abierto, no está navegando por ninguna red social. Y sin embargo, algo en esa página se comunica directamente con la app de Facebook instalada en su dispositivo.
Eso es exactamente lo que descubrió Günes Acar, investigador en la Universidad Radboud de los Países Bajos, en 2025. Lo que parecía una conexión técnica anómala terminó siendo la punta de un sistema de rastreo que afecta a millones de personas cada vez que navegan por internet, estén en Facebook o no, tengan sesión iniciada o no.
No es un fallo ni una vulnerabilidad. Es el diseño.
Qué es el píxel de Meta y por qué está en tantas webs que no son Facebook
El píxel de Meta es un fragmento de código JavaScript que los propietarios de webs instalan voluntariamente en sus páginas. A cambio, obtienen datos sobre el comportamiento de sus visitantes, pueden medir si sus anuncios en Facebook e Instagram generan ventas y tienen acceso a herramientas de segmentación publicitaria más precisas. Para un negocio que invierte en publicidad en Meta, instalarlo tiene sentido comercial claro.
El problema para el usuario es la escala. Según un estudio publicado en la ACM Digital Library, el píxel de Meta está presente en aproximadamente uno de cada cinco o seis sitios web relevantes de internet. La investigación de Acar y Narseo Vallina-Rodríguez, del instituto IMDEA Networks de Madrid, cifra su presencia en más de 5,8 millones de sitios web activos. Tiendas, medios de comunicación, foros, páginas de salud, webs de viajes. Sitios que no tienen ninguna relación aparente con Facebook, pero que llevan su código integrado.
Cada vez que alguien visita una de esas páginas, el píxel se activa. Y envía información.
Qué datos recoge el píxel cuando estás en una web ajena
Cuando el píxel se activa en una página, registra y envía a Meta varios tipos de datos: qué URL has visitado, qué acciones has realizado dentro de la página (si has añadido algo al carrito, si has completado un formulario, si has hecho clic en un botón concreto), cuánto tiempo has estado, desde qué dispositivo navegas y con qué navegador. También recoge datos técnicos del dispositivo como la resolución de pantalla y la dirección IP.
Toda esa información llega a los servidores de Meta. La pregunta es: ¿cómo sabe Meta a quién pertenece esa actividad si el usuario no está usando Facebook en ese momento?
La respuesta está en las cookies. Cuando alguien inicia sesión en Facebook, el navegador guarda una cookie de Meta en el dispositivo. Esa cookie persiste aunque se cierre Facebook, aunque se abran otras pestañas, aunque pasen horas. Cuando el píxel se activa en una web de terceros, detecta esa cookie y la usa para vincular la visita con una cuenta de Facebook concreta. El usuario no ha hecho nada. Solo ha entrado en una web que tiene el código instalado.
El resultado: Meta recibe un registro detallado de tu comportamiento fuera de sus plataformas, asociado a tu identidad, sin que hayas dado ningún permiso explícito en ese momento.
El caso que complica más las cosas: rastreo sin sesión abierta ni cookies
El hallazgo de Acar y Vallina-Rodríguez va más lejos. Su investigación, publicada en 2025, documentó un método de rastreo que funciona incluso cuando el usuario navega en modo incógnito o usa una VPN, dos herramientas que en teoría deberían romper ese vínculo.
El sistema que descubrieron funciona así: si tienes instalada en tu móvil Android la app de Facebook o Instagram y entras desde el navegador del móvil a una web que tenga el píxel, se genera una conexión directa entre esa página y la app instalada en el dispositivo. No hace falta que tengas sesión abierta en el navegador. No hace falta que haya cookies. La app en sí actúa como identificador.
Meta comenzó a usar esta técnica en septiembre de 2024. Los investigadores señalan que es especialmente difícil de detectar porque solo se activa bajo condiciones específicas y evita los mecanismos habituales de protección de privacidad del navegador. Por el momento, solo se ha documentado en Android, aunque los propios investigadores advierten que no se puede descartar que algo similar ocurra en iOS.
Meta, cuando fue consultada por varios medios sobre esta investigación, no negó el funcionamiento del sistema ni ofreció una explicación técnica alternativa.
Qué es la herramienta «Actividad fuera de las tecnologías de Meta»
Meta tiene una sección en su configuración llamada «Actividad fuera de las tecnologías de Meta» (antes conocida como «Actividad fuera de Facebook»). Es, básicamente, el registro de todo lo que el píxel y otras herramientas similares han recopilado sobre ti en webs externas.
Para acceder a ella hay que entrar en Facebook desde un navegador de escritorio, ir a Configuración y privacidad, luego a Configuración, y buscar el apartado «Tu información en Facebook». Dentro aparece la opción «Actividad fuera de las tecnologías de Meta». Al abrirla, la mayoría de usuarios encuentra decenas, a veces cientos, de empresas y sitios web que han compartido su actividad con Meta. Supermercados, aerolíneas, tiendas de ropa, farmacias online, medios de comunicación.
Cada entrada muestra el nombre de la empresa y el número de interacciones registradas. No muestra el detalle de qué se registró exactamente en cada visita.
Desde esa misma sección se puede desvincular el historial acumulado. Eso borra la asociación entre esos datos pasados y tu perfil publicitario. Pero no impide que Meta siga recibiendo esa información en el futuro. Para limitar el rastreo hacia adelante hay que activar la opción «Gestionar actividad futura», que en teoría indica a Meta que no vincule la actividad futura de webs externas con tu perfil. Varios análisis técnicos han señalado que esa opción tiene un alcance limitado: afecta a cómo se usa la información para publicidad personalizada, pero Meta puede seguir recibiéndola con otros fines. Si quieres revisar todos los ajustes disponibles para reducir el rastreo de Meta en detalle, el artículo sobre cómo desactivar el rastreo de Meta en Facebook e Instagram cubre el proceso completo paso a paso.
Por qué el modo incógnito no es suficiente
Es un malentendido frecuente pensar que el modo incógnito del navegador ofrece privacidad frente a sistemas como el píxel de Meta. Lo que hace el modo incógnito es no guardar el historial de navegación localmente, no recordar cookies entre sesiones y no mantener datos de formularios. Pero el código que se ejecuta mientras navegas por una página, incluido el píxel, sigue funcionando con normalidad.
Si al entrar en modo incógnito tienes instalada la app de Facebook en el móvil, la conexión que documentaron Acar y Vallina-Rodríguez puede producirse igualmente. El modo incógnito no bloquea la comunicación entre el navegador y las apps instaladas en el dispositivo.
Una VPN oculta tu dirección IP y cifra el tráfico entre tu dispositivo y el servidor de la VPN, pero no impide que el código de una página web se ejecute en tu navegador ni que ese código se comunique con apps instaladas en el sistema. Para ese tipo de rastreo, una VPN es invisible.
Las alternativas con más eficacia real son usar un navegador que bloquee scripts de terceros por defecto (como Firefox con uBlock Origin configurado), o eliminar las apps de Meta del móvil si no se usan con frecuencia, lo que corta la vía de comunicación que identificó la investigación. Si además quieres entender qué permisos tienen el resto de tus apps y cómo revisarlos, el artículo sobre qué significa el punto naranja en iPhone explica cómo el sistema avisa cuando una app accede al micrófono o la cámara sin que lo esperes.
Qué significa esto para quien no usa Facebook activamente
Hay una franja de usuarios en una situación particular: personas que tienen cuenta en Facebook pero apenas la usan, o que la mantienen activa por grupos o contactos concretos. Muchas de ellas asumen que, al no usar la red social, Meta recopila poco sobre ellas.
El píxel invierte esa lógica. Cuanto más se navega por internet, más datos genera Meta sobre ti, independientemente de lo activo que sea tu uso de Facebook. Una persona que entra a Facebook una vez al mes pero navega por tiendas, medios y webs de salud cada día puede estar generando un perfil publicitario más detallado que alguien que pasa horas en el feed pero no sale de la plataforma.
La actividad fuera de Meta es, para muchos usuarios, la parte más extensa y menos visible de lo que Facebook sabe sobre ellos. Revisarla una vez, aunque solo sea para ver la lista de empresas que han compartido datos, suele ser suficiente para entender la escala real del sistema. Si también usas WhatsApp y te preocupa la privacidad en mensajería, el artículo sobre el doble check de Telegram y cómo ocultarlo explica qué información revelan los indicadores de lectura en las apps de mensajes.
Preguntas frecuentes sobre el rastreo de Facebook fuera de la red social
¿Facebook me rastrea aunque no tenga cuenta?
Sí, en parte. El píxel de Meta recopila datos de todos los visitantes de una página donde está instalado, independientemente de si tienen cuenta en Facebook. Sin cuenta, Meta no puede vincular esa actividad a una identidad concreta de forma directa, pero sí puede construir perfiles anónimos basados en el dispositivo y el navegador. Si en algún momento esa persona crea una cuenta o inicia sesión en un dispositivo conocido, los datos pueden acabar asociándose.
¿Qué diferencia hay entre el píxel de Meta y una cookie normal?
Una cookie es un archivo que el navegador guarda en el dispositivo para recordar información entre visitas. El píxel de Meta es un fragmento de código activo que se ejecuta en la página y envía datos a los servidores de Meta en tiempo real. Aunque el píxel usa cookies para identificar al usuario, su función va más allá: registra acciones concretas dentro de la página y las envía directamente, mientras que una cookie por sí sola solo almacena información localmente.
¿Borrar el historial de actividad fuera de Meta sirve de algo?
Borrar el historial desvincula los datos pasados de tu perfil publicitario, lo que significa que Meta deja de usarlos para mostrarte anuncios personalizados basados en esa actividad. Sin embargo, no elimina los datos de los servidores de Meta ni impide que sigan llegando datos nuevos. Para limitar el rastreo futuro, hay que activar también la opción de gestionar actividad futura en la misma sección.
¿Puedo saber qué webs concretas han enviado mis datos a Meta?
Sí. En la sección «Actividad fuera de las tecnologías de Meta» dentro de la configuración de Facebook aparece una lista con los nombres de todas las empresas o sitios web que han compartido tu actividad con Meta. Cada entrada muestra el número de interacciones registradas. No detalla qué páginas concretas visitaste dentro de cada sitio ni qué acciones específicas se registraron, pero sí muestra quién ha compartido datos y con qué frecuencia.
¿El rastreo de Meta afecta también a Instagram y WhatsApp?
Sí. Las tres plataformas pertenecen a Meta y comparten infraestructura de datos. El píxel puede vincular actividad web con cuentas de Instagram además de con cuentas de Facebook. En el caso de WhatsApp, Meta ha indicado que en algunas regiones puede usar datos de la app para personalizar anuncios en Facebook e Instagram, aunque WhatsApp en sí no muestra publicidad. La sección de actividad fuera de Meta en la configuración cubre las tres plataformas.
¿Es ilegal que Meta rastree mi actividad en webs externas?
En la Unión Europea, el RGPD exige que los usuarios den consentimiento explícito antes de que sus datos sean recogidos con fines publicitarios. En la práctica, ese consentimiento suele gestionarse a través de los banners de cookies que aparecen al entrar en una web: si el usuario acepta cookies de terceros, está autorizando que el píxel funcione. Si los rechaza, el píxel no debería activarse. El problema es que no todos los sitios implementan ese bloqueo correctamente, y la investigación de 2025 documenta casos en los que el rastreo ocurre al margen de esos mecanismos.
🚀 ¿Te ha gustado?
No te pierdas lo próximo. Únete al canal de Telegram y recibe las curiosidades directo en tu móvil.
Unirme al Canal GRATIS
