Seguridad de Tokens y Cookies de Facebook: Lo Que Todo Anunciante Debe Saber

Si gestionas cuentas publicitarias de Facebook — las tuyas o las de clientes — estás sentado sobre un montón de credenciales de acceso que, en las manos equivocadas, pueden vaciar presupuestos, robar datos y destruir permanentemente activos publicitarios. Esto no es hipotético. Sucede cada semana.

La creciente dependencia de la industria publicitaria de herramientas no oficiales, navegadores anti-detect y flujos de trabajo basados en compartir tokens ha creado una superficie de ataque masiva que la mayoría de los media buyers no comprenden completamente. Esta guía desglosa exactamente cómo funcionan los tokens y cookies de Facebook, qué riesgos enfrentas cuando los compartes y cómo proteger tu operación.

Entendiendo los Tokens de Acceso de Facebook

Qué Son los Tokens EAAB y Qué Controlan

Cada vez que una aplicación de terceros interactúa con la infraestructura publicitaria de Meta, lo hace a través de un token de acceso — una cadena de credenciales que le dice a los servidores API de Meta quién está haciendo la solicitud y qué está autorizado a hacer.

El tipo de token más común en publicidad es el token EAAB (el prefijo indica el formato de identificador con alcance de app que usa Meta). Cuando ves una cadena como EAABsbCS1iHgBAxxxxxxx, estás viendo una llave que potencialmente puede:

• Leer y modificar todas las campañas en cada cuenta publicitaria a la que el propietario del token tenga acceso
• Cambiar presupuestos y pujas — incluyendo establecer presupuestos diarios al máximo permitido
• Acceder a información de facturación — ver métodos de pago, historial de gastos y facturas
• Descargar datos de audiencia — exportar audiencias personalizadas, datos semilla de lookalike y listas de clientes
• Gestionar activos del Business Manager — agregar o eliminar personas, reasignar cuentas publicitarias, modificar permisos
• Acceder al píxel de Meta — ver datos de conversión, modificar configuraciones del píxel y leer datos de eventos

Tipos de Token: Entendiendo la Jerarquía

No todos los tokens son iguales. El sistema de tokens de Meta tiene tres niveles distintos, cada uno con diferentes implicaciones de seguridad:

Los Tokens de Acceso de Usuario se generan cuando una persona inicia sesión a través de Facebook Login en una app de terceros. Los tokens de corta duración expiran después de aproximadamente una hora. Los tokens de larga duración, obtenidos intercambiando un token de corta duración a través de la API de Meta, duran aproximadamente 60 días. Son el tipo de token más comúnmente robado.

Los Tokens de Página derivan de los tokens de usuario pero están delimitados a una Página de Facebook específica. Un token de página de larga duración generado correctamente puede volverse no expirante.

Los Tokens de Usuario del Sistema se crean dentro del Business Manager para acceso API máquina-a-máquina sin un login humano. No expiran y están vinculados al Business Manager en lugar de a una cuenta personal. Desde una perspectiva de seguridad, los tokens de usuario del sistema son la opción más controlada.

Duración del Token y Mecánicas de Renovación

Un concepto erróneo común es que los tokens expiran rápidamente y por lo tanto representan un riesgo limitado. La realidad es más matizada:

• Tokens de corta duración: ~1 hora de vida. Riesgo relativamente bajo si se interceptan, pero pueden intercambiarse por tokens de larga duración.
• Tokens de larga duración: ~60 días. Este es el tipo estándar usado por la mayoría de herramientas publicitarias. Sesenta días de acceso sin restricciones son más que suficientes para vaciar un presupuesto publicitario de siete cifras.
• Tokens de página no expirantes: Válidos hasta que se revocan. Persisten a través de cambios de contraseña.
• Tokens de usuario del sistema: Nunca expiran. Delimitados a activos del Business Manager.

El punto crítico: cambiar tu contraseña de Facebook no invalida los tokens de acceso activos. Si un token ha sido comprometido, debes revocarlo explícitamente.

Acceso Basado en Cookies: La Amenaza Más Profunda

Cómo Funcionan las Cookies de Sesión de Facebook

Mientras los tokens proporcionan acceso a nivel API, las cookies proporcionan algo posiblemente más peligroso: acceso completo a nivel de sesión de navegador a tu cuenta de Facebook, indistinguible de ti realmente estando conectado.

Dos cookies son críticas:

c_user: Contiene tu ID numérico de Facebook. Sirve como la mitad identificadora del par de autenticación.

xs: La cookie de autenticación de sesión. Esta es la credencial real. Combinada con c_user, representa una sesión de Facebook completamente autenticada.

Por Qué la Importación de Cookies Evita la 2FA

Esta es la parte que alarma a la mayoría de los anunciantes: el secuestro de sesión basado en cookies evita completamente la autenticación de dos factores.

Aquí está el porqué. La autenticación de dos factores (2FA) es una medida de seguridad al momento del login. Verifica tu identidad cuando creas una nueva sesión. Pero cuando alguien importa tus cookies c_user y xs, no está creando una nueva sesión — está reanudando tu sesión existente, ya autenticada. Desde la perspectiva de Facebook, esto se ve idéntico a ti abriendo una nueva pestaña del navegador.

Cualquier persona con tus cookies puede:

• Acceder a cada cuenta publicitaria vinculada a tu Business Manager
• Modificar configuraciones del Business Manager
• Cambiar la configuración de seguridad de tu cuenta
• Acceder a conversaciones de Messenger
• Descargar exportaciones de datos y códigos de respaldo

Cómo Se Roban las Cookies

Los vectores más comunes de robo de cookies en la industria publicitaria:

1. Extensiones de navegador maliciosas: Las extensiones con permisos amplios pueden leer cookies de cualquier dominio, incluyendo facebook.com.

2. Malware infostealer: Familias de malware como RedLine, Raccoon y Vidar apuntan específicamente a las bases de datos de cookies del navegador. Estas cookies robadas luego se venden en canales de Telegram y mercados de la dark web.

3. Phishing con captura de sesión: Ataques de phishing avanzados usan herramientas de proxy reverso como Evilginx para interceptar las cookies de sesión reales en tiempo real.

4. Compartición voluntaria a través de herramientas grey-hat: Muchas herramientas publicitarias no oficiales solicitan explícitamente que los usuarios exporten y compartan sus cookies de Facebook. Ver nuestro análisis sobre cómo funcionan las herramientas grey-hat de Facebook.

El Hackeo de la Extensión Chrome de AdsPower: Un Caso de Estudio

Qué Pasó

En enero de 2024, AdsPower — uno de los navegadores anti-detect más utilizados en la industria del affiliate marketing y media buying — sufrió un ataque a la cadena de suministro a través de su extensión Chrome.

El ataque se desarrolló a través de una actualización de extensión comprometida. La extensión Chrome de AdsPower recibió una actualización rutinaria conteniendo código malicioso. Como los usuarios ya habían otorgado a la extensión permisos amplios, la actualización maliciosa no activó ningún aviso adicional de permisos.

El Mecanismo Técnico

El código inyectado apuntó específicamente a las interacciones con wallets de criptomonedas. Cuando un usuario iniciaba una transacción en su wallet cripto basado en navegador, la extensión comprometida interceptaba la solicitud de firma y modificaba silenciosamente la dirección del wallet de destino a una controlada por el atacante.

Se estima que $4.7 millones en criptomonedas fueron robados antes de que se detectara el ataque.

Por Qué Esto Importa para los Anunciantes

El hackeo de AdsPower es relevante para cada media buyer por tres razones:

Primero, demostró que las extensiones de navegadores anti-detect son objetivos de alto valor. Estas herramientas, por diseño, requieren los permisos de navegador más invasivos posibles.

Segundo, mostró que los ataques a la cadena de suministro pueden comprometer herramientas en las que millones de personas confían.

Tercero, probó que el riesgo no se limita a la publicidad. Si usas un navegador anti-detect para tus operaciones publicitarias, cualquier otra actividad sensible en ese entorno de navegador también está expuesta.

OAuth Oficial vs. Extracción de Token: Una Diferencia Fundamental

Cómo Funciona OAuth (La Forma Segura)

Cuando una plataforma publicitaria legítima necesita acceso a tus cuentas publicitarias de Meta, usa el flujo oficial de autorización OAuth 2.0:

1. Haces clic en "Conectar con Facebook" en la plataforma
2. Eres redirigido al dominio oficial de Meta
3. Meta te muestra exactamente qué permisos solicita la app
4. Apruebas los permisos específicos
5. Meta emite un token directamente a la aplicación — nunca lo ves ni lo manejas
6. El token está delimitado solo a los permisos que aprobaste
7. Puedes revocar el acceso en cualquier momento

Este flujo proporciona: permisos delimitados, acceso revocable, registro de auditoría, ninguna exposición de credenciales y responsabilidad de la app.

Cómo Funciona la Extracción de Token (La Forma Peligrosa)

Las herramientas grey-hat usan un enfoque completamente diferente: abres las DevTools, copias un token crudo y lo pegas en la herramienta. Este enfoque no tiene ninguna de las propiedades de seguridad de OAuth.

Cómo Proteger Tu Operación Publicitaria

Acciones Inmediatas

1. Audita tus apps conectadas ahora. Ve a Configuración de Facebook > Seguridad e inicio de sesión > Apps y sitios web. Elimina todo lo que no uses activamente.

2. Habilita la autenticación de dos factores en cada cuenta que toque tus operaciones publicitarias. Usa una app de autenticación (no SMS).

3. Deja de compartir tokens crudos inmediatamente. Migra a una plataforma que use OAuth.

4. Revisa tus extensiones de navegador. Elimina cualquier extensión que no necesites absolutamente.

5. Usa perfiles de navegador separados. Tu sesión publicitaria de Facebook no debería compartir un perfil de navegador con navegación personal, wallets cripto o banca.

Prácticas de Seguridad Continuas

Monitorea la actividad no autorizada. Revisa regularmente tu Registro de Actividad. Configura alertas de login de Facebook.

Implementa restricciones basadas en IP. Habilita "Requerir autenticación de dos factores para todos" en Business Manager.

Rota credenciales según un calendario. Los tokens de usuario del sistema deberían rotarse al menos trimestralmente.

Usa tokens de usuario del sistema sobre tokens personales. Crea usuarios del sistema en Business Manager para integraciones API.

Educa a tu equipo. Cada persona que toque tus cuentas publicitarias debería entender: nunca compartir tokens o cookies, nunca instalar extensiones no verificadas, siempre usar flujos OAuth oficiales.

Qué Hacer Si Sospechas una Compromisión

1. Cierra sesión inmediatamente en todas las sesiones
2. Cambia tu contraseña
3. Revoca todos los permisos de apps
4. Revisa la configuración del Business Manager
5. Revisa la actividad publicitaria reciente
6. Habilita alertas de login
7. Contacta al soporte de Meta

El Panorama General

Los riesgos de seguridad descritos aquí no son amenazas abstractas — son la realidad operativa de una industria donde las líneas entre herramientas legítimas y servicios grey-hat están frecuentemente difuminadas. Para una comprensión más profunda de lo que pasa cuando Meta detecta el uso de herramientas no autorizadas, lee nuestra guía sobre violaciones de los Términos de Servicio de Meta. Y si actualmente usas cloaking, nuestro análisis de los riesgos del cloaking en 2026 explica por qué la ventana para estos métodos se está cerrando rápidamente.

Las plataformas publicitarias que sobrevivirán y crecerán son las construidas sobre acceso API oficial, flujos OAuth y prácticas de seguridad transparentes. La era de la extracción de tokens y el compartir cookies está terminando.