Un test de personalidad que hicieron 270.000 personas fue todo lo que necesitó Cambridge Analytica para acceder a los datos personales de 50 millones de usuarios de Facebook. No fue un fallo de seguridad: los propios usuarios de la aplicación cedieron sus datos y los de sus amigos a cambio de hacer el test.
El problema es que la antigua API de Facebook —lanzada en abril de 2010 y cerrada en abril de 2015— permitía por diseño la extracción de datos de toda tu red de contactos y no solo los tuyos. En otras palabras, bastaba con ser amigo de alguien que hiciera el famoso test de personalidad para que tu información personal cayera en manos de Cambridge Analytica, una empresa británica que después invirtió millones de dólares en publicidad microsegmentada en base a esos datos para intentar que la gente votara a Trump en las elecciones de 2016.
Facebook no hizo nada al respecto (aparte de pedir a Cambrige Analytica que borrara los datos sin comprobar que lo hiciera y olvidarse del asunto). Un par de años después, la compañía de Mark Zuckerberg se enfrenta a la peor crisis de imagen de su historia. Sí, la nueva Graph API de Facebook no permitiría un caso similar hoy en día, pero eso no quita que ocurriera. En tres meses, Cambrige Analytica recopiló una escandalosa cantidad de información personal sobre 50 millones de personas que ni siquiera cometieron el error de ceder sus datos.
¿Qué datos pudo obtener Cambridge Analytica sobre ti si alguno de tus contactos hizo el test de personalidad en su momento? Todos los que vienen listados en el grupo Extended Profile Properties de esta tabla elaborada por los investigadores Symeonidis, Tsormpatzoudi y Preneel. Es decir: biografía, acciones, actividades, cumpleaños, check-ins, educación, eventos, juegos, grupos, ciudad natal, intereses, páginas y publicaciones a las que has dado me gusta, ubicación, notas, si estás en línea, etiquetas, fotos, preguntas, relaciones, religión e ideología política, estado, suscripciones, páginas web y vida laboral (siempre que estos datos estuvieran disponibles para ese amigo en tu perfil de Facebook).
Con la Graph API 1.0, las aplicaciones podían solicitar toda esta información sobre los amigos de sus usuarios sin fricciones y sin tener que comunicar las razones por las que requerían este consentimiento. Es más, podían seguir recopilando datos en segundo plano durante años una vez eran autorizadas. En 2014, Facebook se dio cuenta de que esto resultaba problemático y anunció que discontinuaría la API para “poner a la gente en primer lugar”. El daño ya estaba hecho, y la compañía ya se había lucrado con nuestros datos por el camino.