Un correo electrónico de Mark Zuckerberg pidiendo un análisis del tráfico cifrado de Snapchat, correos electrónicos de altos ejecutivos de Facebook y las objeciones del jefe de seguridad. Todo esto aparece en documentos que detallan cómo la empresa supuestamente utilizó técnicas de ciberespionaje para rastrear el comportamiento de los usuarios en su aplicación rival.
Los correos electrónicos se hicieron públicos tras una demanda presentada por un grupo de anunciantes contra Meta. Acusan a la empresa de intentar monopolizar el mercado publicitario en las redes sociales entre 2016 y 2019. El intercambio de correos electrónicos comienza en junio de 2016. En ese momento, Snapchat tenía impulso. En definitiva, se ha convertido en la aplicación más popular. En los primeros seis meses de ese año pasó de alrededor de 110 millones de usuarios a 148 millones. Mientras tanto, Facebook iba perdiendo terreno entre las nuevas generaciones e Instagram corría el riesgo de ser bloqueado como aplicación de fotografía. Hasta que lanzó sus Instagram Stories en agosto, una copia al carbón de Snapchat Stories. Su buena acogida entre los usuarios ha dado la vuelta a la situación.
Este es sólo el contexto del mercado. Lo que revelan los documentos es la creación de un proyecto, llamado y apodado IAAP cazador de fantasmas (“Cazafantasmas”) en clara referencia al logo de Snapchat. El objetivo era analizar el tráfico de esta aplicación gracias a un kit integrado en la propia app de Facebook, que los usuarios instalaban en sus dispositivos, y que servía para recopilar información sobre su actividad digital en otras aplicaciones.
“Este kit le dio a Facebook la capacidad de hacer que todo el tráfico proveniente de esos teléfonos terminara en un servidor controlado por Facebook”, explica Juan Tapiador, profesor del Departamento de Informática de la Universidad Carlos III y especialista en ciberseguridad. «En teoría, lo que hicieron fue ver si el tráfico provenía de Snapchat y, de ser así, observaron una serie de análisis sobre cómo los usuarios revisaban la aplicación».
Los documentos presentan un complejo esquema de seguimiento mediante técnicas de ciberespionaje. El proyecto se basó en la tecnología de Onavo, una aplicación VPN (red privada virtual) adquirida por Facebook en 2013. Deepak Daswani, consultor de ciberseguridad y hackear, señala que el tráfico de usuarios pasaría por servidores que actuarían como intermediarios. “Conceptualmente, esto sería un ataque de ‘hombre en el medio’, porque el servicio VPN está en medio del tráfico entre el usuario y Snapchat. Y puede descifrar cierta cantidad de información”, afirma.
Misión: Interceptar y descifrar el tráfico de usuarios
Los documentos reconstruyen cómo habría articulado Facebook su proyecto cazador de fantasmas para interceptar el tráfico de usuarios de determinados sitios web. No sólo se habría analizado Snapchat, también se habría analizado el comportamiento de los usuarios de YouTube y Amazon. La empresa supuestamente ofreció incentivos a algunos usuarios para que instalaran una aplicación de Facebook modificada. Dieron su consentimiento para que la aplicación recopile sus datos.
La iniciativa se basa en un correo electrónico enviado por el CEO de Facebook, Mark Zuckerberg, el 9 de junio de 2016. En él, aludía a la falta de análisis en Snapchat porque su tráfico estaba cifrado. “Dado lo rápido que están creciendo, parece importante pensar en una nueva forma de obtener información analítica sobre ellos. Quizás necesitemos crear paneles de usuario o software específicos del programa. Es necesario pensar en cómo hacer esto”, escribió Zuckerberg en un correo electrónico a tres altos directivos.
Un intercambio de correo electrónico analiza la dificultad de obtener la tecnología necesaria para observar el tráfico cifrado de Snapchat. Y se especula que puede requerir «aprobación legal». Sin embargo, según documentos publicados, el equipo de Onavo VPN de Facebook se puso a trabajar y ideó una solución que la compañía ha implementado durante tres años.
Hubo objeciones en los niveles más altos. La documentación cita a Pedro Canahuati, entonces vicepresidente de Ingeniería, Seguridad y Privacidad: “No se me ocurre ningún buen argumento para justificar que esto está bien. Nadie que trabaje en ciberseguridad se sentirá cómodo con esto, independientemente de la aceptación que obtengamos del público en general. «El público en general simplemente no sabe cómo funciona».
Por supuesto, no es un esquema intuitivo. Cuando te conectas a una página web, esta debe estar firmada por una autoridad de certificación en la que confíe nuestro navegador o la aplicación que utilizamos. Es la única forma en que un dispositivo puede saber que se está conectando al sitio auténtico y que no hay suplantación. Sin embargo, el kit que incluía la aplicación de Facebook modificada distorsionó este proceso.
Tapidador arroja luz sobre cómo funcionó el proceso. “Si te conectas a una página web y esa página web está firmada por una “autoridad certificadora”, automáticamente confías en ella. Y sabes que te estás conectando a snapchat.com o elpais.com. Cuando instalabas la aplicación de Facebook lo que hacían era instalar un interno autoridad de certificación sólo de Facebook.»
Al hacer esto, la autoridad certificadora de Facebook le dijo al dispositivo que confiara en que el usuario se estaba conectando a Snapchat. Sin embargo, lo que sucedió es que el tráfico del usuario primero fue a los servidores de Facebook para su análisis.
Daswani destaca la importancia de la tecnología VPN para lograr este seguimiento de la información: “Facebook, si es un proveedor de VPN, puede ver todo mi tráfico que pasa a través de la VPN, mi tráfico que va a Twitter, a Facebook, a WhatsApp y a otro proveedor. Esta aplicación Onavo lo que hicieron fue acceder al tráfico de la red y analizarlo.»
Todo este tráfico estaba cifrado. Es decir, un tercero fuera de la ecuación simplemente no podría haberlo leído. Pero Facebook ya no era realmente un tercero. En el cifrado de tráfico, las claves que protegen la información se generan mediante una colaboración entre los dos extremos entre los que viajan los datos: la aplicación y el servidor de destino. Y aquí el servidor de destino era Facebook, que formaba parte del proceso de generación de claves y, con ellas, podía descifrar el tráfico.
Tapiador explica que el tráfico no provino del usuario en Snapchat. “Lo que sucede es que luego hacen lo que están llamados a hacer. Poder legal transparente. Toman el tráfico, lo abren, lo miran y, desde ese servidor, se conectan a Snapchat haciéndose pasar por usted», explica. De esta manera los usuarios pueden ver el resultado de su actividad: si tocan una imagen se abre, si desplazan la pantalla que mueve. “Pero hay alguien involucrado que abrió el sobre, leyó lo que había dentro, lo volvió a meter en otro sobre y lo envió a su destino”.
En una carta enviada al juez que investiga el caso, Meta (Facebook, como empresa, cambió de nombre en 2021) niega que el software mencionado en los documentos esté vinculado a un posible monopolio. No debemos olvidar que este es el objeto de la demanda interpuesta. También indicamos que los usuarios de la aplicación de Facebook modificada (“Facebook Research App”) han aceptado proporcionar a la empresa sus datos de navegación. «Aquí no hay nada nuevo. El asunto fue denunciado hace años. Las acusaciones de los demandantes son infundadas y completamente irrelevantes para el caso», afirmó un portavoz del Meta en declaraciones a este diario.
Según los documentos del caso, en el proyecto cazador de fantasmas Trabajó un equipo de altos directivos y alrededor de 41 abogados.
puedes seguir La tecnología de EL PAÍS En Facebook Y X o regístrate aquí para recibir el nuestro boletín semanal.
Regístrate para continuar leyendo
Leer sin límites
_