Sin entrar en detalles sobre cómo funcionan el enrutamiento del Protocolo de Internet y el Sistema de Nombres de Dominio, para su ISP es bastante fácil (y en este caso, su proveedor es su ISP) saber qué dominios visita.
Para responder a su pregunta, el proveedor mantiene una lista de todas las direcciones IP registradas en Facebook. Cuando su teléfono solicita datos de Internet a través de su conexión celular, dirige la solicitud a una dirección IP específica. Esa solicitud se enruta a través de la puerta de enlace de Internet de su proveedor. La puerta de enlace (u otro hardware entre esta y la torre) puede registrar este uso y verificar las direcciones de origen y destino. Si la dirección de destino (para una solicitud) o la dirección de origen (para una respuesta o una notificación de inserción) proviene de una dirección IP registrada en Facebook, su proveedor simplemente no cuenta ese uso en función del límite de datos de su plan.
No necesariamente pueden leer el tráfico, incluso si utilizan Deep Packet Inspection (DPI), no podrán leer el tráfico cifrado, pero pueden ver qué tan grande es, de dónde viene y a dónde va. Tenga en cuenta que los operadores móviles a menudo usan DPI, sin embargo; les permite detectar a las personas que hacen cosas como usar datos atados sin (o en exceso) su límite de tethering. Además, si bien el tráfico entre su teléfono y la torre está cifrado (con criptografía no muy buena en los protocolos de generaciones anteriores, aunque no creo que todavía esté roto 4g), el operador obviamente necesita poder descifrar esa capa de tráfico para que puedan encaminar los datos. Los datos también se pueden cifrar a un nivel más alto, utilizando elementos como SSL / TLS, pero cualquier cosa por encima del nivel de Protocolo de Internet revelará el remitente y el destinatario de cada paquete.
Cualquier ISP puede hacer este monitoreo de sus conexiones para cualquier cosa que acceda a Internet a través de ellas, por cierto. Este tipo de "metadatos" es una de las cosas por las que la NSA y otras agencias similares en todo el mundo tienen la intención de absorber. El "Gran Cortafuegos" de China coloca filtros en las direcciones IP a las que no quiere que llegues, aunque creo que también usa el DPI para bloquear contenido específico en sitios de otro modo permitidos. Este tipo de cosas es una de las razones por las que existen servidores proxy anónimos y redes anónimas (como TOR); su ISP puede decirle que se está conectando a un nodo de entrada de proxy / TOR, pero no puede decir a dónde va su solicitud a menos que controlen el nodo. Al rebotar la solicitud varias veces en máquinas aleatorias, es posible estar bastante seguro de que cualquiera que intente rastrear la ruta de la solicitud la ha perdido. El destino final real está cifrado dentro de los datos enviados al proxy, por lo que nunca es visible para un atacante de red.