PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations

Este estudio presenta PixelConfig, un marco de análisis diferencial que revela que la configuración predeterminada del Meta Pixel en miles de sitios web, especialmente en el sector salud, facilita la recolección masiva de datos sensibles y de actividad de los usuarios, mientras que las medidas de restricción implementadas ofrecen una protección limitada y son fácilmente eludibles.

Lo esencial

Imagina que Internet es una inmensa ciudad llena de tiendas (páginas web). Para que estas tiendas vendan más, contratan a "detectives privados" (los píxeles de rastreo) que se esconden en las esquinas para observar a los clientes.

Este estudio, llamado PixelConfig, es como una investigación forense donde los autores (Abdullah, Yash y Zubair) decidieron no solo contar cuántos detectives hay, sino leer sus cuadernos de notas para entender exactamente qué están escribiendo, cómo están configurados y si están violando las reglas, especialmente en las tiendas de salud (hospitales, clínicas, sitios de médicos).

Aquí tienes la explicación sencilla, paso a paso:

1. El Problema: No todos los detectives son iguales

Antes, los investigadores solo miraban por la ventana y decían: "¡Mira! Hay un detective en esa tienda". Pero no sabían qué estaba haciendo.

• La analogía: Es como ver a un guardia de seguridad. ¿Solo vigila la puerta? ¿O está grabando lo que la gente come en el restaurante? ¿O está anotando los nombres de los clientes en una lista para venderlos?
• El hallazgo: Los autores crearon una herramienta (PixelConfig) para abrir la "caja negra" del detective y ver sus instrucciones. Descubrieron que el mismo detective (el Pixel de Meta/Facebook) puede tener instrucciones muy diferentes dependiendo de la tienda.

2. La Misión: Investigar las Tiendas de Salud

Los investigadores eligieron dos grupos para comparar:

• El Grupo de Control: Las 10.000 páginas web más populares del mundo (noticias, ropa, tecnología).
• El Grupo de Salud: 18.000 sitios web de hospitales, médicos y seguros de salud.

¿Por qué importa esto?
Imagina que un detective en una tienda de zapatos anota "compró zapatillas". Eso es normal. Pero si ese mismo detective en una clínica anota "el paciente tiene dolor de espalda" o "está buscando tratamiento para la disfunción eréctil", eso es información sensible y privada. En EE. UU., hay leyes (como HIPAA) que protegen esta información, pero los detectives de internet a veces las ignoran.

3. Lo que Descubrieron (Los Tres Grandes Hallazgos)

A. El "Modo Automático" (Rastreo de Actividades)

Meta (la dueña de Facebook) configura a sus detectives para que actúen por defecto.

• La analogía: Es como comprar un coche nuevo que, por defecto, tiene el GPS encendido, el micrófono activado y la cámara grabando, y el dueño tiene que hacer un esfuerzo enorme para apagarlos.
• El dato: El 98.4% de las webs (tanto de salud como de ropa) tenían activado el "Rastreo Automático". Esto significa que el detective anotaba automáticamente cada clic, cada botón que pulsabas y cada página que visitabas, sin que el dueño de la web tuviera que decirle nada.

B. La "Identidad" (Rastreo de Quién Eres)

Los detectives no solo anotan qué haces, sino quién eres.

• La analogía: Imagina que el detective no solo te ve entrar a la tienda, sino que te pide tu nombre, tu teléfono y tu correo electrónico, y luego los guarda en una lista para siempre, incluso si intentas borrar las "galletas" (cookies) de tu navegador.
• El dato: Usan "cookies de primer partido" (que son más difíciles de bloquear que las antiguas) para seguirte. En las webs de salud, esto es peligroso porque pueden saber que "Juan Pérez" visitó una página sobre "cáncer de próstata".

C. Los "Filtros de Seguridad" (Restricciones de Rastreo)

Ante las quejas de los reguladores (el gobierno), Meta introdujo "frenos de emergencia" o filtros para proteger datos sensibles.

• La analogía: Es como poner un candado en la caja fuerte. Meta dijo: "Ahora podemos bloquear que el detective anote palabras sensibles como 'HIV' o 'aborto'".
• El problema:
  1. Pocos lo usan: Solo el 34% de las webs de salud activaron estos candados. La mayoría no lo hizo.
  2. El candado tiene agujeros: Incluso cuando activaron el candado, los detectives encontraron formas de saltárselo. Por ejemplo, en lugar de escribir la palabra "cáncer", el detective enviaba un código secreto (un hash) que solo él entendía, pero que Meta podía descifrar. O enviaban la dirección completa de la página en lugar de solo el nombre del hospital.

4. La Conclusión: El Detective sigue escribiendo

El estudio revela que:

• La inercia es el enemigo: La mayoría de las webs no cambian la configuración por defecto porque es difícil o porque Meta las empuja a no hacerlo.
• La privacidad es frágil: Aunque existen herramientas para protegerse, a menudo no se usan o no funcionan bien.
• El riesgo en salud: En sitios de salud, los detectives están recopilando información extremadamente sensible (desde citas médicas hasta condiciones vergonzosas) y enviándola a Meta, a menudo sin que los pacientes sepan que sus datos están siendo vendidos para publicidad.

En resumen

Este papel nos dice que los "detectives" de internet son muy inteligentes y están configurados para vigilarlo todo por defecto. Aunque existen reglas para proteger la información de salud, la mayoría de las tiendas no las activan, y cuando lo hacen, los detectives a menudo encuentran formas de seguir espiando. Es una llamada de atención para que los dueños de las webs y los reguladores se despierten y aprieten más los tornillos de la privacidad.

Resumen técnico

Aquí tienes un resumen técnico detallado del artículo "PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations", presentado en la conferencia IMC '26.

1. El Problema

El ecosistema de publicidad en línea depende masivamente de los "píxeles de seguimiento" (tracking pixels) para la personalización de anuncios, el re-targeting y el seguimiento de conversiones. Aunque la investigación previa ha cuantificado la prevalencia de estos píxeles en la web (sabiendo que más del 90% de los sitios los tienen), existe una brecha crítica en el conocimiento sobre cómo están configurados.

• Limitación del estado del arte: Los estudios anteriores se centraban en detectar la presencia del píxel, pero ignoraban que la misma implementación de código puede tener configuraciones radicalmente diferentes según el sitio web.
• Complejidad técnica: Analizar estas configuraciones es difícil debido a la documentación pública vaga, la necesidad de acceso a cuentas de anunciantes (inaccesible para investigadores), el análisis dinámico incompleto (requiere simulación de interacciones complejas) y la ofuscación del código JavaScript.
• Riesgo de privacidad: Los píxeles en sitios de salud pueden recopilar información sensible (condiciones médicas, citas, historiales) que está protegida por regulaciones como HIPAA, pero la configuración real de estos datos en Meta Pixel (anteriormente Facebook Pixel) no se había estudiado sistemáticamente a lo largo del tiempo.

2. Metodología: PixelConfig

Los autores presentan PixelConfig, un marco de trabajo de ingeniería inversa que combina análisis estático y dinámico para realizar un análisis diferencial de las configuraciones de Meta Pixel.

Estrategia de Ingeniería Inversa

El marco se basa en dos enfoques complementarios para mapear el código fuente y el tráfico de red a comportamientos específicos de seguimiento:

1. Análisis Diferencial de Tráfico de Red (Parcheo de Código):

   • Se toma el script de configuración original de un píxel.
   • Se parchea iterativamente (comentando o eliminando líneas específicas) para desactivar configuraciones concretas (ej. AutomaticSetup, FirstPartyCookies).
   • Se ejecuta el script parcheado en un navegador (usando la funcionalidad de override de Chrome DevTools) y se compara el tráfico de red generado con el tráfico original.
   • Las diferencias en las solicitudes HTTP (parámetros eliminados o añadidos) permiten identificar exactamente qué parte del código controla qué función de seguimiento.

2. Análisis Diferencial de Configuración (Entorno de Control):

   • Los autores crearon un sitio web de prueba y una cuenta de desarrollador en Meta.
   • Activaron y desactivaron configuraciones manualmente en el Meta Business Manager.
   • Compararon los scripts de configuración generados antes y después de los cambios para validar el mapeo entre la interfaz de usuario y el código subyacente.

Recolección de Datos (Longitudinal)

• Fuente de datos: Internet Archive (Wayback Machine).
• Cohortes:
  • Grupo de Salud: 18,327 sitios web de salud de EE. UU. (derivados de la Asociación Americana de Hospitales y CMS).
  • Grupo de Control: Los 10,000 sitios web más populares (Top-10K).
• Periodo: 2017 a 2024.
• Proceso: Se rastrearon instantáneas de sitios web y scripts de configuración asociados (config scripts) para extraer los IDs de píxel y sus configuraciones históricas.

3. Contribuciones Clave

1. Marco PixelConfig: La primera herramienta de ingeniería inversa capaz de descomponer y entender las configuraciones de Meta Pixel a nivel de script, superando las limitaciones del análisis de tráfico puro.
2. Análisis Longitudinal Exhaustivo: El primer estudio que rastrea la evolución de las configuraciones de píxeles en sitios de salud frente a sitios generales durante un periodo de 7 años.
3. Mapeo de Configuración a Comportamiento: Se identificaron y documentaron las funciones específicas del código (ej. instance.optIn, config.set, fbq.set) que activan características de seguimiento de actividad, identidad y restricciones.
4. Datos Abiertos: El código fuente de PixelConfig y los datos recolectados se han hecho públicos para fomentar futuras investigaciones.

4. Resultados Principales

A. Seguimiento de Actividad (Activity Tracking)

• Adopción Masiva por Defecto: Las funciones de seguimiento automático (como AutomaticSetup e InferredEvents que capturan clics de botones y metadatos de página) alcanzaron tasas de adopción de hasta 98.4%. Esto se debe a que están habilitadas por defecto.
• Herramienta de Configuración de Eventos (Event Setup Tool): Desde 2023, muchos sitios usan esta herramienta para definir eventos personalizados.
  • Riesgo Sensible: Se detectó que sitios de salud configuran eventos para rastrear interacciones con botones específicos relacionados con condiciones médicas sensibles (ej. "disfunción eréctil", "HIV", "salud mental", "anticonceptivos").
  • Meta puede vincular estos clics a la identidad del usuario, revelando condiciones de salud específicas.

B. Seguimiento de Identidad (Identity Tracking)

• Cookies de Primer Nivel: A pesar de las restricciones de cookies de terceros, el uso de cookies de primer nivel (_fbp, _fbc) se disparó al 98.4% en 2023. Esto permite el seguimiento persistente a través de sesiones y dominios, y está configurado por defecto (patrón de "Dark Pattern" de Bad Defaults).
• Coincidencia Avanzada Automática (AAM): Permite a Meta recolectar y hashear datos personales (email, teléfono, nombre, etc.) directamente desde formularios web.
  • Aunque no estaba activado por defecto, Meta lo "empujó" mediante su interfaz, logrando altas tasas de adopción.
  • En sitios de salud, el uso de AAM disminuyó tras las advertencias regulatorias de 2023, pero aún persiste en un 47.8% de los casos.

C. Restricciones de Seguimiento (Tracking Restrictions)

• Implementación Incompleta: Meta introdujo restricciones como Unwanted Data (2020-2021) y Core Setup (2023/2024) para limitar el envío de datos sensibles.
• Adopción Baja:
  • Core Setup (que limita la información URL al nivel de dominio y omite parámetros personalizados) se configuró en solo el 34.3% de los sitios de salud y el 8.7% de los sitios de control en 2024.
  • Las claves sensibles (sensitive keys) y las listas negras (blacklisted keys) se usan en menos del 25% de los sitios de salud.
• Eficacia Limitada y Contorno:
  • Incluso cuando Core Setup está activo, no siempre es efectivo. Se encontraron casos donde los sitios envían hashes de la URL completa en parámetros personalizados (ud[dl]), burlando la restricción de truncar la URL al dominio.
  • Algunos sitios tienen múltiples píxeles; uno puede estar en Core Setup mientras otros continúan enviando datos completos.

5. Significado e Impacto

• Implicaciones Regulatorias: El estudio demuestra que, a pesar de las acciones de la FTC y el HHS (incluyendo cartas de advertencia en 2023), los sitios de salud continúan configurando píxeles que recopilan información sensible. La responsabilidad recae en gran medida en las configuraciones predeterminadas de Meta y en la falta de acción proactiva de los anunciantes.
• Vulnerabilidad de la Privacidad: La combinación de seguimiento automático de eventos, cookies de primer nivel y coincidencia avanzada permite a Meta reconstruir perfiles de salud detallados de los usuarios, potencialmente violando la HIPAA y las expectativas de privacidad.
• Necesidad de Mejoras: Las medidas de protección actuales (Core Setup) son insuficientes si no se implementan correctamente o si pueden ser eludidas mediante técnicas de ingeniería inversa por parte de los propios sitios web.
• Avance Académico: Proporciona una metodología robusta para analizar la configuración de scripts de terceros en la web, un área que anteriormente era difícil de auditar debido a la opacidad y ofuscación del código.

En conclusión, el paper revela que el seguimiento de Meta Pixel es mucho más intrusivo y omnipresente de lo que sugieren las métricas de simple presencia, y que las medidas de privacidad implementadas por la plataforma son a menudo incompletas, configuradas por defecto de manera insegura y fácilmente eludibles.