Facebook ha lanzado sin hacer ruido un servicio similar a Onavo Protect, su psuedo-VPN vampírica que pretende proteger la privacidad de los usuarios, pero en realidad recopila y analiza sus datos. Esta vez es aún peor: Facebook está ofreciendo a adolescentes una aplicación similar a través de servicios de pruebas beta de terceros, lo que posiblemente viola las normas de Apple para desarrolladores empresariales.
Según un informe publicado esta semana por TechCrunch, Facebook ha utilizado al menos tres compañías para dirigirse a personas de 13 a 35 años de edad ofreciendo un servicio que originalmente se denominó Facebook Research cuando se lanzó en 2016. Desde mediados de 2018 ha pasado a denominarse Proyecto Atlas. Ocurrió cuando la comunidad tecnológica reaccionó contra Onavo y Facebook sacó esta aplicación de la App Store después de que Apple la advirtiera de que violaba las reglas de recopilación de datos.
La aplicación solicita permisos que permiten a la empresa copiar prácticamente cualquier dato que desee desde un dispositivo iOS o Android, desde mensajes privados y fotos hasta hábitos de navegación web. A cambio, Facebook ha estado ofreciendo pequeños pagos a los participantes ($20 mensuales en forma de tarjetas regalo y pagos adicionales si recomendaban la app). A cambio, los jóvenes solo debían mantener el servicio funcionando en sus dispositivos y ocasionalmente completar los datos haciendo cosas como tomar capturas de pantalla de sus historiales de pedidos de Amazon.
TechCrunch descubrió que Facebook contrató los servicios de pruebas beta Applause, BetaBound y uTest a través de anuncios en Instagram, Snapchat y otros lugares para reclutar participantes. Según parece, se pidió a los usuarios menores de 18 años que presentaran formularios de consentimiento firmados por los padres.
Algunos de los anuncios pedían a personas de 13 a 17 años para un “estudio de investigación de medios sociales remunerado”, mientras que otros anunciaron oportunidades para los usuarios. “Edad: 13 a 35 años (consentimiento de los padres para las edades de 13 a 17 años)“. Facebook también se ha tomado especiales molestias en ocultar que estaban detrás del programa. Algunos métodos de registro solo mencionaban el nombre de la red social durante las instrucciones de instalación.
Según TechCrunch, a los participantes del programa en iOS se les pide que descarguen la aplicación usando un certificado de desarrollador de empresa de Apple, lo que probablemente infringe las reglas del fabricante:
Parece que Facebook ha evitado a propósito TestFlight, el sistema de prueba beta oficial de Apple, que requiere que alguien de la compañía revise las aplicaciones y está limitado a 10,000 participantes. En su lugar, el manual de instrucciones revela que los usuarios descargan la aplicación de r.facebook-program.com y se les pide que instalen un Certificado de Desarrollador Empresarial y una VPN que otorga a Facebook acceso a nivel de root a los datos que transmite el móvil. Apple requiere que los desarrolladores acepten utilizar solo este sistema de certificado para distribuir aplicaciones corporativas internas a sus propios empleados. El reclutamiento aleatorio de evaluadores y el pago de una tarifa mensual parece violar el espíritu de esa regla.
El investigador de seguridad de Guardian Mobile Firewall, Will Strafach, añade lo siguiente en declaraciones a TechCrunch:
Si Facebook hace un uso completo del nivel de acceso que obtiene al pedirles a los usuarios que instalen el Certificado, tendrán la capacidad de recopilar continuamente los siguientes tipos de datos: mensajes privados en aplicaciones de redes sociales, chats de aplicaciones de mensajería instantánea, fotografías y videos enviados por estas aplicaciones, correos electrónicos, búsquedas en la web, actividad de navegación web, e incluso información de ubicación continua al acceder a las fuentes de cualquier aplicación de seguimiento de ubicación que haya instalado.
La expresión bastante técnica de ‘instala nuestro certificado raíz’ es atroz. No hay una buena manera de expresar la cantidad de poder que le estás dando a Facebook cuando haces esto.
El sitio web de Applause cita más referencias que indican que la cantidad de datos que Facebook recopila del programa, y es intensa, por decirlo suavemente:
Applause asegura que la instalación de la aplicación Research otorga a su cliente permiso para recopilar información como qué aplicaciones están instaladas en tu teléfono, cómo y cuándo las usas, datos sobre tus actividades y contenidos dentro de esas aplicaciones, y cómo interactúan otras personas contigo o su contenido dentro de esas aplicaciones. También recopila información sobre tu actividad de navegación en Internet. En algunos casos recopila datos incluso cuando la aplicación utilice cifrado, o desde sesiones de navegador seguro.
Strafach explicó a TechCrunch que encima la aplicación de Facebook Research parece ser una compilación mal hecha de la aplicación prohibida de Onavo. De hecho contiene gran parte del código de Onavo, envía datos a las direcciones IP asociadas a Onavo, y contiene numerosas secciones de Código que parecen haberse copiado y pegado directamente de Onavo. Sin embargo, admitió que es imposible saber qué está descargando realmente Facebook de los usuarios externos a la empresa.
Facebook respondió a TechCrunch que la aplicación Research no viola las políticas de Apple (sin entrar en detalles). También dijo que las similitudes entre Onavo y la aplicación nueva se deben a que ambas fueron creadas por el mismo equipo, compararon el programa con un grupo focal similar a Nielsen y dijeron que no tenía planes de detenerse.
Está claro por qué Facebook lo que ha hecho es relanzar un clon de Onavo. Un artículo del Wall Street Journal de 2017 detallaba que los datos de Onavo, que adquirió en 2013, habían resultado ser cruciales en decisiones de todo tipo, desde el diseño de producto hasta la adquisición de WhatsApp en Facebook en 2014. Del mismo modo, está claro por qué Facebook quiere monitorear la vida privada de los adolescentes. Los informes sugieren que este grupo de edad está abandonando la plataforma en gran número y se involucran más con su subsidiaria Instagram o con competidores como YouTube y Snapchat. (En cuanto al hecho de que todo esto sea realmente espeluznante, bueno... es Facebook).
Si Apple decide que han terminado con Facebook, podría exigir que dejen de distribuir la aplicación Research, o incluso que revoquen sus certificados empresariales, lo que daría pie otra batalla de relaciones públicas que Facebook no puede permitirse. La reputación del gigante de los medios sociales ha estado sufriendo últimamente de escándalos relacionados con prácticamente todo, desde el intercambio imprudente de datos con terceros hasta denuncias de complicidad literal en casos de genocidio. La respuesta de su CEO Mark Zuckerberg a todo ello es que si estás empezando a no confiar en ellos es porque no tienes ni idea de cómo funcionan.
En una declaración a Gizmodo, un portavoz de Facebook escribe que el programa está siendo tergiversado, y que nunca ha habido falta de transparencia al respecto:
Los hechos clave sobre este programa de investigación de mercado están siendo ignorados. A pesar de los primeros informes, no había nada “secreto” sobre esto. Literalmente se llamó la aplicación de investigación de Facebook. No fue espionaje ya que todas las personas que se registraron para participar pasaron por un proceso claro de incorporación en el que se solicitó su permiso y se les pagó por participar. Finalmente, menos del 5 por ciento de las personas que eligieron participar en este programa de investigación de mercado eran adolescentes. Todos ellos con formularios de consentimiento paterno firmados.
La versión para iOS del programa también está siendo discontinuada.
Horas antes de que se conociera la noticia, corrió la voz en Twitter de que Facebook había incorporado a tres destacados expertos en privacidad y críticos de Facebook: Robyn Green del Open Technology Institute y Nathan White de Access se unieron a Facebook como administradores de políticas de privacidad. El asesor legal de Electronic Frontier Foundation, Nate Cardozo, quien, como recordó Yahoo, escribió una vez que Facebook “depende de nuestra confusión colectiva y nuestra apatía por la privacidad”, se une al equipo de privacidad de WhatsApp en Facebook.
La compañía dijo que los nuevos fichajes se han incorporado para ofrecer nuevas perspectivas y mejorar su enfoque de la privacidad. [TechCrunch]
Escrito con la colaboración de Dell Cameron.