Cómo Funcionan las Herramientas Grey-Hat de Facebook: Tokens, Cookies y RPA

Las herramientas grey-hat de Facebook no son magia. Explotan tres mecanismos técnicos específicos para controlar cuentas publicitarias fuera del marco de autorización oficial de Meta. Comprender cómo funcionan las herramientas grey hat de facebook a nivel técnico es esencial para cualquier media buyer, ya sea que las uses, compitas contra personas que lo hacen, o necesites evaluar las implicaciones de seguridad para tus propias cuentas.

Este es un análisis técnico profundo. Cubriremos los mecanismos exactos, flujos de datos y vectores de detección para cada método. Sin comentarios morales, solo realidad técnica.

Los Tres Pilares del Acceso Grey-Hat

Toda herramienta grey-hat de publicidad en Facebook se basa en uno o más de estos tres métodos de acceso:

1. Extracción y abuso de tokens — Usar tokens EAAB para llamar a la Marketing API de Facebook sin autorización OAuth oficial
2. Inyección de cookies — Importar cookies de sesión para secuestrar sesiones de navegador autenticadas
3. RPA (Automatización Robótica de Procesos) — Controlar la interfaz web de Facebook mediante acciones automatizadas del navegador

Algunas herramientas usan un único método. Las más sofisticadas combinan los tres. Examinemos cada uno en detalle.

Pilar 1: Tokens EAAB

Qué Son los Tokens EAAB

Cuando inicias sesión en Facebook y accedes a Ads Manager, tu sesión de navegador genera tokens de acceso que autorizan las solicitudes a la API. El más valioso de estos es el token EAAB (Extended Access), un token de larga duración que comienza con la cadena literal "EAAB" seguida de un payload codificado en base64.

Un token EAAB codifica:

• El ID de usuario del usuario de Facebook autenticado
• El ID de la app de la aplicación que generó el token (normalmente la propia app Ads Manager de Facebook)
• Scopes de permisos — lo que el token está autorizado a hacer (ads_management, ads_read, business_management, etc.)
• Un timestamp de expiración — típicamente 60-90 días para tokens de larga duración
• Una firma criptográfica que Meta valida en cada llamada a la API

Con un token EAAB válido, puedes hacer las mismas llamadas a la API que hace el propio Ads Manager de Facebook. Crear campañas, modificar presupuestos, subir creativos, obtener insights, gestionar métodos de pago: todo.

Cómo Se Extraen los Tokens

Método 1: Extracción mediante Extensión de Chrome

El método de extracción más común usa extensiones de Chrome que interceptan solicitudes de red dentro del navegador. Cuando abres Ads Manager, tu navegador hace llamadas a la API hacia graph.facebook.com con el token EAAB en el encabezado Authorization o como parámetro de URL.

Una extensión de Chrome con permisos webRequest puede interceptar estas solicitudes y extraer el token. El flujo:

El usuario abre Ads Manager → El navegador hace una llamada API → La extensión intercepta la solicitud →
Token extraído del header/URL → Almacenado localmente o enviado a servidor externo

Extensiones como "Facebook Token Extractor" (varios nombres, eliminadas frecuentemente de la Chrome Web Store) automatizan este proceso. Algunas herramientas grey-hat incluyen sus propias extensiones con marca propia.

Método 2: Conversión de Cookie a Token

Las cookies de sesión de Facebook pueden usarse para generar tokens de forma programática. El proceso:

1. Extraer las cookies c_user y xs de una sesión autenticada
2. Hacer una solicitud al endpoint OAuth de Facebook usando esas cookies como autenticación
3. Solicitar la generación del token para el ID de la app Ads Manager
4. Recibir un token EAAB nuevo

Este método es el que usan las herramientas que trabajan con importaciones de cookies (véase el Pilar 2) para convertir el acceso de sesión en acceso a la API.

Método 3: Abuso de OAuth

Algunas herramientas se registran como aplicaciones de desarrollador legítimas de Facebook y luego abusan del flujo OAuth para solicitar permisos excesivos. El usuario autoriza la app creyendo que es una herramienta legítima, y la app almacena y usa el token para fines no autorizados.

Esto se ha vuelto menos viable a medida que Meta ha endurecido los procesos de revisión de apps, pero aún existen apps heredadas con permisos amplios.

Cómo Usan los Tokens las Herramientas

Una vez extraído, el token se usa para hacer llamadas directas a la API de Marketing de Facebook:

Creación de Campaña:

POST /act_{ad_account_id}/campaigns
Authorization: Bearer EAAB...
Content-Type: application/json

{
  "name": "Nombre de Campaña",
  "objective": "OUTCOME_SALES",
  "status": "ACTIVE",
  "special_ad_categories": []
}

Creación de Conjunto de Anuncios:

POST /act_{ad_account_id}/adsets
Authorization: Bearer EAAB...

{
  "campaign_id": "123456",
  "name": "Nombre del Ad Set",
  "targeting": { ... },
  "billing_event": "IMPRESSIONS",
  "bid_amount": 1000,
  "daily_budget": 5000
}

Subida de Creativo:

POST /act_{ad_account_id}/adcreatives
Authorization: Bearer EAAB...

{
  "name": "Nombre del Creativo",
  "object_story_spec": { ... }
}

Las llamadas a la API son idénticas a las que hacen las herramientas legítimas. La diferencia está en la ruta de autorización: las herramientas legítimas obtuvieron el token a través del flujo OAuth oficial de Facebook con consentimiento del usuario y revisión de la app. Las herramientas grey-hat lo extrajeron de una sesión de navegador.

Ciclo de Vida y Rotación de Tokens

Los tokens EAAB tienen una expiración integrada, típicamente de 60-90 días. Sin embargo, varios factores pueden invalidar un token antes de tiempo:

• Cambio de contraseña — Todos los tokens de la cuenta se invalidan inmediatamente
• Punto de control de seguridad — Los sistemas de seguridad de Facebook pueden invalidar tokens cuando se detecta actividad sospechosa
• Cierre de sesión — El usuario cerrando sesión en todas las sesiones invalida los tokens asociados
• Desautorización de la app — Eliminar los permisos de una app invalida los tokens emitidos para esa app

Las herramientas grey-hat gestionan la expiración de tokens mediante:

• Re-extracción automática — Extensiones de Chrome en segundo plano que extraen tokens nuevos continuamente
• Endpoints de renovación de tokens — Algunas herramientas usan endpoints no documentados de Facebook para extender la vida útil del token
• Fallback a cookies — Cuando un token expira, la herramienta recurre al acceso de sesión basado en cookies para generar un nuevo token

Señales de Detección para el Abuso de Tokens

Meta detecta el uso no autorizado de tokens mediante varias señales:

1. Desajuste de ID de app — Los tokens generados por las propias apps de Facebook (Ads Manager, Business Suite) llevan IDs de app específicos. Meta puede detectar cuando estos tokens se usan desde orígenes inesperados
2. Análisis de patrones de solicitud — Los usuarios humanos de Ads Manager crean una campaña a la vez con pausas. Las herramientas crean decenas en rápida sucesión
3. Correlación de IP — El token fue generado desde una IP (el navegador del usuario), pero las llamadas a la API provienen de otra IP (el servidor de la herramienta)
4. Contexto de navegador ausente — Las llamadas legítimas a la API de Ads Manager incluyen encabezados de navegador, patrones de temporización y conexiones WebSocket asociadas. Las llamadas API directas de herramientas carecen de este contexto
5. Anomalías de volumen — Crear 50 campañas en 50 cuentas en 5 minutos desde una única firma de aplicación

Pilar 2: Inyección de Cookies

Las Cookies Relevantes

Cuando inicias sesión en Facebook, tu navegador recibe varias cookies de autenticación. Las dos críticas son:

c_user — Contiene el ID numérico del usuario de Facebook. Esto le dice a Facebook a qué cuenta pertenece la sesión.

xs — El token de sesión. Esta es la credencial de autenticación real. Es una cadena codificada compleja que incluye metadatos de sesión y una firma criptográfica.

Juntas, estas dos cookies constituyen una sesión de Facebook completa. Cualquier navegador que presente estas cookies a facebook.com será reconocido como el usuario autenticado, sin necesidad de contraseña.

Cookies adicionales relevantes:

• fr — La cookie de seguimiento entre sitios de Facebook
• datr — Cookie de identificación del navegador (persiste entre sesiones)
• sb — Identificación del navegador, similar a datr
• presence — Indicador de presencia en chat/mensajería

Cómo Funciona la Inyección de Cookies

El proceso de inyección:

1. Exportación: Las cookies se extraen de la sesión del navegador fuente. Esto se puede hacer a través de las herramientas de desarrollador del navegador, extensiones, o acceso programático al almacén de cookies. La salida es típicamente en formato de cookie Netscape o JSON:

{
  "name": "c_user",
  "value": "100012345678",
  "domain": ".facebook.com",
  "path": "/",
  "httpOnly": true,
  "secure": true,
  "sameSite": "None",
  "expirationDate": 1742515200
}

2. Transferencia: Los datos de la cookie se mueven al entorno de destino: un perfil de navegador anti-detect, la base de datos de cuentas de una herramienta, o un repositorio de equipo compartido.

3. Importación: El navegador receptor carga las cookies en su almacén de cookies para el dominio facebook.com. Esto se hace típicamente antes de navegar a Facebook, de modo que la primera carga de página ya está autenticada.

4. Validación de Sesión: El navegador navega a facebook.com. Los servidores de Facebook validan las cookies y sirven la experiencia de usuario autenticada.

Por Qué la Inyección de Cookies Es Popular

La inyección de cookies sirve varios propósitos en el ecosistema grey-hat:

Gestión de Cuentas Sin Contraseñas: Los media buyers que compran cuentas en marketplaces reciben cookies, no contraseñas. La contraseña original puede ser desconocida o haber sido cambiada. La inyección de cookies es la única forma de acceder a estas cuentas.

Operaciones Multi-Cuenta: Gestionar 50+ cuentas de Facebook requeriría 50+ combinaciones de email/contraseña. Las cookies son más portátiles: pega una cadena de cookies y el perfil está listo.

Evitar Activadores de Login: Cada inicio de sesión de Facebook desde un nuevo dispositivo/ubicación activa verificaciones de seguridad: códigos de verificación, CAPTCHA, verificación de identidad. La inyección de cookies omite por completo el proceso de login, evitando estos activadores.

Persistencia de Sesión: Las cookies mantienen las sesiones entre reinicios del navegador. Un perfil de navegador anti-detect correctamente configurado con cookies inyectadas puede mantener una sesión de Facebook durante semanas sin re-autenticación.

Formatos de Cookies y Herramientas

Las herramientas grey-hat aceptan cookies en varios formatos:

• Formato Netscape: El formato de exportación de cookies más antiguo. Texto plano, una cookie por línea. Compatibilidad universal.
• Formato JSON: Estructurado, utilizado por la mayoría de herramientas modernas. Cada cookie es un objeto JSON con todos sus atributos.
• Cadena codificada en Base64: Algunos marketplaces venden cookies como una única cadena codificada que las herramientas decodifican automáticamente.
• Exportación de perfil de navegador: Los navegadores anti-detect pueden exportar perfiles completos, incluyendo cookies, localStorage e IndexedDB.

Herramientas para la Gestión de Cookies:

• EditThisCookie (extensión de Chrome) — Exportación/importación manual de cookies
• Cookie-Editor — Funcionalidad similar, más mantenida
• Importadores de navegadores anti-detect — AdsPower, GoLogin y Multilogin tienen diálogos de importación de cookies integrados
• Scripts personalizados — La API page.setCookie() de Puppeteer permite la inyección programática de cookies

Seguridad y Riesgos de las Cookies

La inyección de cookies conlleva riesgos de seguridad significativos:

Robo de Cookies: Si alguien obtiene tus cookies de Facebook, tiene acceso completo a tu cuenta. Las cookies vendidas en marketplaces pueden haber sido robadas mediante malware, phishing o brechas de datos, no exportadas voluntariamente por los propietarios de las cuentas.

Secuestro de Sesión: Facebook no puede distinguir entre el usuario original y alguien que ha inyectado sus cookies. No existe un punto de control de autenticación de dos factores para el acceso de sesión basado en cookies.

Compromiso en Cascada: Si se viola la base de datos de una herramienta, todas las cookies almacenadas quedan accesibles para los atacantes. La brecha de AdsPower en diciembre de 2024 demostró este riesgo: la extensión de Chrome comprometida accedió a los datos de sesión de los usuarios en múltiples plataformas.

Expiración e Invalidación: Las cookies expiran. Facebook rota periódicamente los tokens de sesión. Una cookie que funciona hoy puede no funcionar mañana, creando una necesidad constante de cookies nuevas y un mercado constante para los proveedores de cookies.

Pilar 3: RPA (Automatización Robótica de Procesos)

Qué Significa RPA en Este Contexto

RPA en publicidad de Facebook significa software que controla la interfaz web de Facebook simulando acciones humanas. En lugar de llamar a APIs con tokens, las herramientas RPA abren un navegador, navegan a Ads Manager, hacen clic en botones, rellenan formularios y envían campañas, exactamente como lo haría un humano, pero más rápido.

La Pila Tecnológica

Frameworks de Automatización de Navegador:

• Puppeteer — Librería de Node.js para controlar Chromium. El framework más común para la automatización de Facebook
• Playwright — La librería de automatización multi-navegador de Microsoft. Compatible con Chromium, Firefox y WebKit
• Selenium — Framework más antiguo, aún utilizado en algunas herramientas. Más lento pero maduro

Integración con Navegadores Anti-Detect:

Los navegadores anti-detect exponen interfaces de automatización a las que Puppeteer/Playwright pueden conectarse. El flujo:

Navegador Anti-Detect (huella digital única) → Puppeteer se conecta vía CDP →
El script navega por la UI de Facebook → Acciones ejecutadas como si fueran de un usuario humano

AdsPower, por ejemplo, expone un endpoint del Chrome DevTools Protocol (CDP) para cada perfil. Un script de Puppeteer se conecta a este endpoint y tiene control total sobre la sesión del navegador, con la huella digital anti-detect intacta.

Cómo Funciona el Autolaunch via RPA

El flujo de trabajo de "autolaunch" (автозалив) a través de RPA:

1. Selección de perfil: El script selecciona un perfil de navegador anti-detect con una sesión de Facebook activa
2. Navegación: El navegador abre facebook.com/adsmanager/creation
3. Configuración de campaña: El script rellena el objetivo, presupuesto y calendario
4. Configuración del conjunto de anuncios: Targeting, ubicaciones, objetivo de optimización
5. Subida de creativo: Subida de imagen/video, copy del anuncio, URL, CTA
6. Revisión y publicación: Enviar la campaña para revisión
7. Bucle: Repetir para la siguiente cuenta/perfil

Cada paso implica:

• Detección de elementos: Encontrar el botón, campo de entrada o desplegable correcto mediante selector CSS, XPath o etiqueta ARIA
• Interacción similar a la humana: Añadir retrasos aleatorios entre acciones (200-2000ms), mover el ratón de forma natural, desplazarse hasta los elementos antes de hacer clic
• Gestión de errores: Detectar popups, desafíos CAPTCHA, restricciones de cuenta, y gestionar cada caso
• Verificación: Confirmar que cada paso se completó correctamente antes de continuar

Ventajas del RPA sobre el Acceso por Tokens

Menor Riesgo de Detección: El RPA genera eventos genuinos del navegador: movimientos del ratón, entrada de teclado, eventos de scroll, cambios de foco. Los sistemas de detección de Meta ven una sesión de navegador que parece humana.

Sin Dependencia de Token: El RPA no necesita un token EAAB. Funciona con cualquier sesión de navegador autenticada (incluidas las sesiones basadas en cookies).

Resiliencia ante Cambios de UI: Las herramientas RPA avanzadas usan reconocimiento visual de elementos en lugar de selectores CSS fijos. Si Facebook mueve un botón, la herramienta puede seguir encontrarlo por su apariencia visual.

Acceso Completo a Funciones: La UI de Facebook expone funciones que la Marketing API no tiene: ciertas opciones de targeting, herramientas de creativos y configuraciones de cuenta son exclusivas de la UI.

Desventajas del RPA

Velocidad: El RPA es inherentemente más lento que las llamadas a la API. Crear una campaña via API tarda 1-3 segundos. Via RPA, tarda 30-120 segundos incluyendo los retrasos similares a los humanos.

Fragilidad: La UI de Facebook cambia frecuentemente. Un cambio de nombre de clase, un desplazamiento de diseño o un nuevo diálogo modal pueden romper los scripts. La carga de mantenimiento es alta.

Limitaciones de Escala: Cada operación RPA requiere una instancia de navegador. Ejecutar 50 creaciones de campaña simultáneas requiere 50 instancias de navegador, con un consumo significativo de CPU y RAM.

Recuperación de Errores: Cuando algo sale mal a mitad del proceso (popup inesperado, fallo de carga de página, elemento no encontrado), la recuperación es compleja. Las llamadas a la API basadas en tokens fallan limpiamente con códigos de error. Los fallos de RPA pueden dejar las sesiones del navegador en estados desconocidos.

Enfoques Híbridos

Las plataformas grey-hat más sofisticadas combinan los tres métodos:

1. Inyección de cookies para establecer sesiones en perfiles de navegador anti-detect
2. Extracción de tokens de esas sesiones para operaciones API rápidas
3. Fallback a RPA para operaciones que requieren interacción con el navegador o cuando los tokens son marcados

Este enfoque por capas proporciona la máxima flexibilidad. Dolphin Cloud, por ejemplo, puede crear campañas vía llamadas a la token API para mayor velocidad, recurrir al RPA cuando los patrones de API activan la detección, y usar inyección de cookies para mantener sesiones persistentes en docenas de cuentas.

La Carrera Armamentista de Detección

Meta invierte fuertemente en detectar el uso no autorizado de herramientas. Las señales de detección abarcan los tres métodos de acceso:

Análisis Conductual

• Patrones de creación de campañas demasiado uniformes (misma estructura, temporización, convenciones de nomenclatura)
• Horarios de actividad que no coinciden con los patrones históricos de la cuenta
• Actividad simultánea entre múltiples cuentas que se correlaciona (mismos creativos, mismo targeting, mismo timing)

Señales Técnicas

• Solicitudes a la API sin firmas de app adecuadas
• Huellas digitales de navegador que son estadísticamente demasiado únicas (irónicamente, los navegadores anti-detect pueden crear huellas digitales demasiado perfectas)
• Cadenas de renderizador WebGL que no coinciden con el hardware declarado
• Desajustes de zona horaria entre la huella digital, la IP y la configuración de la cuenta

Análisis de Red

• Múltiples cuentas accedidas desde el mismo rango de IP
• Patrones de uso de proxies (proxies residenciales de proveedores conocidos por fraude publicitario)
• Imposibilidades geográficas (cuenta conectada desde dos continentes en minutos)

Análisis de Creativos y Contenido

• Creativos publicitarios idénticos o casi idénticos entre cuentas
• Landing pages que coinciden con patrones de cloaking conocidos
• Agrupación por similitud de copy publicitario entre cuentas marcadas

Cada mejora en la detección por parte de Meta activa contramedidas de los desarrolladores de herramientas: nuevas técnicas de fingerprinting, simulación conductual mejorada, ofuscación más sofisticada. Esta carrera armamentista es continua y se acelera.

La Alternativa Oficial

Para los media buyers que quieren las capacidades de automatización sin los riesgos técnicos, herramientas como AdRow proporcionan acceso oficial a la Marketing API con:

• Autenticación basada en OAuth — sin tokens que extraer, sin cookies que inyectar
• Operaciones de campaña en masa — crear y gestionar campañas a escala a través de la API documentada
• Reglas automatizadas — lógica condicional que actúa sobre las campañas en función de los datos de rendimiento
• Cero riesgo de detección — todas las operaciones están autorizadas y son esperadas por los sistemas de Meta

El mapa completo del ecosistema proporciona un contexto más amplio sobre dónde encajan estas herramientas, y el explicador de autolaunch cubre en detalle los flujos de trabajo específicos de creación de campañas.

Comprender cómo funcionan las herramientas grey-hat no es un respaldo a su uso. Es alfabetización técnica que todo media buyer serio debería tener, porque sus competidores sin duda la tienen.