Jrgen Flchle - Fotolia

Privacidad en juego: cómo Facebook vulnera los derechos de sus usuarios

Paso a paso, el gigante de las redes sociales ha dejado atrás su compromiso original de proteger los datos y la privacidad de los usuarios, anteponiendo los intereses comerciales y el monitoreo de las actividades de todos los miembros, incluso desde aplicaciones de terceros. Parte 3 de 4.

En la primera parte de este reportaje, se habló de cómo la red social liderada por Mark Zuckerberg ha vulnerado la privacidad de sus usuarios una y otra vez, y se enlistaron 22 ejemplos que evidencian que las intenciones de Facebook distan mucho de proteger los datos de sus miembros.

La segunda entrega de este informe, detalló ocho de los puntos enlistados en el primer artículo. Esta tercera parte profundiza en los siguientes nueve puntos de la lista.

9. Democracia: ¡no, gracias!

Según Dina Srinivasan, especialista en tecnologías de publicidad digital, Facebook enfrentaba un obstáculo si quería usar el código de los botones Me gusta y otros complementos para brincarse la privacidad de sus usuarios. Entonces, a fines de 2012, se dispuso a desmantelar un proceso de referéndum que había instituido cuatro años antes para permitir a los usuarios votar sobre sus políticas de privacidad.

En 2009, Facebook había tratado de calmar la ira de sus usuarios después de hacer públicos sus datos privados de manera unilateral, otorgándoles derechos de voto sobre sus futuras políticas de privacidad. "Ninguna otra compañía ha hecho un movimiento tan audaz hacia la transparencia y la democratización", dijo Simon Davies, director de Privacy International en ese momento.

Luego, Facebook se comprometió a permitir a los usuarios decidir el contenido de los documentos contractuales clave, incluida su política de privacidad, los principios de Facebook y las declaraciones de derechos y responsabilidades.

Más tarde, Facebook propuso una serie de cambios que allanarían el camino para reducir la privacidad de los usuarios. Una de sus propuestas fue abolir los referéndums futuros por completo.

Alrededor del 80% de los usuarios votaron en contra de los planes, pero apenas importaba. Facebook tenía una cláusula de salida: para que un voto fuera vinculante, el 30% de sus usuarios tendría que votar. Con más de mil millones de usuarios y poco menos de 600,000 votos emitidos, Facebook pudo descartar los resultados de las elecciones y continuar con sus planes para construir su red de vigilancia.

10. Campaña de cabildeo global de Facebook contra GDPR

Los procedimientos internos de votación de Facebook eran una cosa, la legislación gubernamental otra. Para 2013, Sheryl Sandberg, directora de operaciones (COO) de Facebook, y Zuckerberg estaban cada vez más preocupados por el impacto de la propuesta de la Directiva Europea de Protección de Datos, que más tarde se convertiría en el Reglamento General de Protección de Datos (GDPR).

Facebook movilizó a su personal para una gran campaña de cabildeo en el Foro Económico Mundial en Davos, celebrando reuniones privadas con los responsables políticos, en lo que los ejecutivos vieron como una batalla cuesta arriba para garantizar que el estándar de protección de datos de Europa no fuera "demasiado prescriptivo".

La directora de operaciones aprovechó al máximo su influyente libro Apoyo e impulso: Mujeres, trabajo y la voluntad de liderar para tratar de establecer una buena relación con los tomadores de decisiones europeos, incluida Viviane Reding, comisionada de la Unión Europea (UE) para la protección de datos, y Neelie Kroes, comisionada de tecnología de las comunicaciones.

Documentos internos registran una reunión privada con el canciller del tesoro, George Osborne. Sandberg lo instó a ser "aún más activo y vocal en el debate europeo sobre protección de datos y realmente a dar forma a las propuestas".

Sandberg y Marne Levine, vicepresidenta de política pública global de Facebook que pasó a ser directora de operaciones de Instagram, tuvieron conversaciones privadas con la primera ministra irlandesa, Enda Kenny. Facebook había realizado grandes inversiones en Dublín, creando miles de empleos, e Irlanda estaba a punto de asumir la presidencia de la Unión Europea.

“Utilizamos la reunión para presionarlos y hacer de la Directiva de Protección de Datos de la UE una prioridad para su presidencia. El primer ministro dijo que podrían ejercer una influencia significativa como presidente de la UE, a pesar de que técnicamente se supone que Irlanda debe permanecer neutral en este papel", según los registros de notas altamente confidenciales de Facebook.

11. Facebook desarrolla una VPN para espiar a los usuarios

Facebook estaba trabajando con Onavo, una compañía israelí que había desarrollado una red privada virtual (VPN), que Facebook finalmente compró en octubre de 2013.

Onavo había desarrollado una serie de aplicaciones para teléfonos móviles Android y Apple, que ayudaron a los propietarios de teléfonos móviles a utilizar menos datos móviles y a proteger la privacidad de sus teléfonos móviles.

Su aplicación principal era Onavo Protect, una VPN que pretendía proteger la privacidad de las personas mientras navegaban por la web. Según la publicidad en Facebook, "Onavo Protect te ayuda a protegerte a ti y a tus datos cuando navegas por la información en la web".

Pero documentos internos altamente confidenciales muestran que lejos de proteger la privacidad de los usuarios, Facebook estaba utilizando la tecnología de Onavo para rastrear a más de 30 millones de usuarios que habían descargado la aplicación.

Facebook pudo utilizar los datos recopilados de las aplicaciones de Onavo para su propia ventaja comercial, accediendo a información comercial confidencial y no pública sobre la descarga y las tasas de apertura de aplicaciones de teléfonos móviles que consideraba competitivas.

Onavo le mostró a Facebook en qué país se encontraba el usuario y el modelo de su dispositivo, permitiendo que la red social rastreara el crecimiento de las aplicaciones en diferentes geografías.

Una presentación confidencial con actualizaciones de la industria reveló que Facebook estaba combinando datos de usuarios de Onavo con los propios datos de Facebook, en contra de sus representaciones públicas, ya en marzo de 2013.

Javier Olivan, vicepresidente de crecimiento de Facebook, hizo una presentación que comparó las tasas de apertura de Facebook, Twitter, Instagram, WhatsApp, Snapchat, Pinterest y otras aplicaciones en teléfonos móviles.

Una presentación similar, un mes después, analizó un grupo ampliado de aplicaciones, incluidas Line, Tumblr, Foursquare, Skype y MessageMe.

Todos estos datos se obtuvieron a través de usuarios de Onavo, que no sabían que su información se estaba utilizando de esta manera.

Para diciembre de 2014, Facebook había producido una hoja de cálculo que clasificaba 82,000 aplicaciones en función del compromiso y el alcance de los usuarios de Onavo.

Facebook también usó a Onavo en su programa de inicio, FBStart, que ofreció tutoría y apoyo a las primeras empresas.

La red social rastreó activamente a las nuevas empresas para decidir qué compañías deberían ser aceptadas en el programa y cuáles eran amenazas competitivas.

Los días de Onavo empezaron a contarse cuando empleados de Facebook revelaron públicamente al Wall Street Journal en 2018 que Facebook había utilizado datos de Onavo para crear una base de datos para rastrear a sus rivales y las nuevas empresas más prometedoras.

En una publicación de blog ahora eliminada, el experto en seguridad Will Strafach escribió que Onavo Protect permitió a Facebook recopilar datos de identificación sobre el usuario, incluido el nombre de la red celular, el código de la red móvil, la versión del software móvil de Apple y el código móvil del país. Strafach afirmó que también se enviaron detalles sobre la cantidad de datos de Wi-Fi y datos celulares que cada usuario había consumido.

Tras las quejas de Apple de que Onavo había incumplido sus términos de servicio, la compañía de redes sociales acordó retirar a Onavo de la tienda de iPhone de Apple. Facebook finalmente abandonó a Onavo en mayo de 2019.

12. Documentos internos revelan planes para recolectar más datos de usuarios

Registros confidenciales recopilados por el jefe de privacidad de Facebook revelan que el equipo de producto de Facebook había estado recopilando datos sobre las llamadas telefónicas de los usuarios de Facebook, incluida la duración y frecuencia, las llamadas entrantes y salientes, y los mensajes de texto, sin el conocimiento de la unidad legal y de políticas de Facebook.

Facebook había estado utilizando datos para recomendar "personas que quizás conozcas" a los usuarios de Facebook. Los gerentes habían suspendido la práctica en espera de asesoramiento legal, pero el equipo del producto estaba ansioso por continuar recolectando datos de llamadas y mensajes de texto, reveló una nota de Matt Scutari, gerente del equipo de privacidad y políticas públicas de Facebook.

"Hemos estado trabajando para comprender los riesgos de privacidad asociados con varios permisos de Android que saldrán en la próxima versión, incluidos los permisos asociados con la lectura de registros de llamadas y SMS", escribió Scutari.

Facebook planeó "mitigar los riesgos de las políticas" mediante la creación de preguntas frecuentes para dar al público una explicación general de los permisos de Android con un enlace a más información en la tienda Google Play.

Pero, luego de la presión para ser más abierto, se decidió por una pregunta frecuente que daba "ejemplos no exhaustivos" de los cinco permisos más sensibles.

La compañía de medios sociales también estaba considerando una asociación con una compañía de servicios financieros, Argus, que tenía acceso al 90% de las transacciones con tarjeta de crédito y al 30% de las transacciones con tarjeta de débito en los Estados Unidos.

Según la nota confidencial, Argus compró datos de transacciones anónimos directamente de los bancos, y luego trabajó con una empresa de marketing de datos, Epsilon, para volver a identificar los datos.

Otros planes en marcha incluyeron un proyecto con Cisco para recopilar información anónima sobre los usuarios de Facebook cuando sus dispositivos móviles se conectan a los servicios de Wi-Fi en las tiendas.

Facebook también estaba desarrollando un cuestionario llamado "¿Qué tan bien conoces a tus amigos?", diseñado para alentar a los amigos de los usuarios a completar los espacios en blanco en sus perfiles. La respuesta inicial, escribió Scutari, "es que este flujo sugiere que estamos tratando de engañar a los usuarios para que proporcionen datos sobre sus amigos, pero los departamentos legales y de relaciones públicas se han deslindado de esto".

13. Onavo se levanta de las cenizas

La muerte de la aplicación Onavo no impidió que Facebook usara la VPN para recopilar datos sobre la actividad web y de telefonía móvil de las personas.

Facebook reutilizó partes del código de Onavo para desarrollar una VPN de investigación de Facebook y estaba pagando a los usuarios, incluidos los adolescentes, hasta $20 dólares al mes para renunciar a su privacidad, reveló TechCrunch.

En un programa denominado Proyecto Atlas, Facebook había estado pagando a los usuarios de 13 años en adelante hasta $20 dólares por mes para espiar el uso de su teléfono móvil descargando una aplicación de investigación en sus teléfonos. Facebook utilizó organizaciones de terceros para distanciarse de la aplicación.

Una página de registro dirigida por Applause alentó a las personas a inscribirse en "una oportunidad emocionante". La participación, decía, "solo requiere que los participantes instalen una aplicación en sus teléfonos móviles". A cambio, recibirían un pago cada mes si mantuvieran la aplicación instalada.

Como reflejo de la sensibilidad del proyecto para Facebook, se instó a los participantes a mantener su participación en el proyecto "estrictamente confidencial" y no revelar información sobre el proyecto a nadie más.

El investigador de seguridad Strafach dijo a TechCrunch que la aplicación le dio a Facebook la capacidad de acceder a información "asombrosamente detallada", incluidos los mensajes privados de las redes sociales de los usuarios, chats de mensajería instantánea, fotografías y videos, navegación web y ubicación física. En algunos casos, Facebook podría recopilar información aunque hubiera sido encriptada por una aplicación.

A Facebook se le ocurrió una artimaña para distribuir la aplicación en iPhone sin violar los términos de servicio de Apple. La compañía alentó a los usuarios a descargar un "certificado de desarrollador empresarial" para acceder a la aplicación. Apple proporcionó estos certificados en el entendimiento de que solo serían utilizados por los propios desarrolladores de Facebook, no por el público, por lo que la táctica no estaba dentro del espíritu de los términos de uso de Apple.

La respuesta de Apple fue rápida cuando el asunto se hizo público. Revocó el certificado de empresa de Facebook. Debido a que Facebook dependía en gran medida de los dispositivos de Apple para sus operaciones y planificación diarias, estuvo casi parado durante dos días.

Los políticos reaccionaron con enojo al comportamiento de Facebook. El senador estadounidense Richard Blumenthal, por ejemplo, dijo a TechCrunch que la aplicación de investigación era "otro ejemplo sorprendente del desprecio total de Facebook por la privacidad de los datos y el deseo de participar en un comportamiento anticompetitivo".

Más tarde, Facebook reveló a Blumenthal que la aplicación había obtenido datos personales de 187,000 personas que la usaban, incluidos 4,300 adolescentes. Unos 31,000 registros vinieron de personas en los Estados Unidos y el resto de la India.

14. Cómo la política de privacidad de Facebook se volvió menos privada con el tiempo

A medida que Facebook ganó popularidad, gradualmente retrocedió en sus promesas de proteger la privacidad de los usuarios. Entre 2005 y 2015, la política de privacidad de Facebook creció de 900 palabras a más de 12,000 palabras. A medida que la política creció en tamaño, se volvió menos transparente, más difícil de comprender para los usuarios y contenía menos opciones para que los usuarios controlaran sus datos personales.

Jennifer Shore y Jill Steinman, investigadores del Harvard College, clasificaron cada nueva versión de la política de privacidad de Facebook en un marco estándar, y encontraron una disminución en 22 de 23 de los estándares que midieron.

Con el tiempo, el puntaje que los académicos otorgaron a Facebook por la transparencia del uso de las tecnologías de seguimiento en su política de privacidad se redujo del máximo de cuatro a cero. La explicación de Facebook de cómo y cuándo divulgó datos a terceros siguió el mismo patrón, al igual que otras medidas importantes de divulgación de privacidad. Cuanto más larga se volvió la política de privacidad de Facebook, menos útil fue.

15. Facebook rompe sus promesas de no rastrear a los usuarios

A principios de 2014, informa Srinivasan en su innovador estudio, la mayoría de los competidores de Facebook se habían quedado en el camino. Rivales como MySpace, Friendster y muchas redes olvidadas desde hace mucho tiempo, como Mixi, Cyworld, hi5, BlackPlanet, Yahoo's 360, Bebo y docenas de otros, habían abandonado el mercado. Para junio de 2014, la némesis de Facebook, Google, cerró su red social. Ya no había presión competitiva para mantener la privacidad.

Facebook se abalanzó y anunció que comenzaría a rastrear las actividades de las personas a través de la web utilizando su red de páginas web de terceros que contienen el código de Facebook. Después de pasar siete años prometiendo que no rastrearía a las personas en línea, ahora planeó reutilizar sus botones Me gusta, píxeles y otro código de complemento para recopilar datos sobre los artículos que leen las personas, los productos que compraron y los sitios web que vieron.

 "Facebook siguió haciendo declaraciones: ‘no, no estamos atacando a los usuarios al usar estos dispositivos’, ‘no están destinados a rastrear’, ‘son solo para su seguridad y protección’, y así sucesivamente", dice Srinivasan. "Mientras tanto, silenciosamente presentaron una patente para hacer exactamente lo que dicen que no están haciendo, y esperan, esperan, esperan a que Google salga del mercado y luego comienzan a rastrear".

El anuncio fue lo suficientemente soso. Facebook estaba respondiendo a las demandas de sus usuarios de ver anuncios que fueran más relevantes para ellos: “Hoy, conocemos sus intereses principalmente de las cosas que hace en Facebook, como las páginas que le gustan. Pero pronto en los EE. UU., también incluiremos información de algunos de los sitios web y aplicaciones que utilizan (los usuarios)".

Durante los siete años, Facebook había persuadido a millones de sitios web para instalar complementos de Facebook. Al mismo tiempo, dice Srinivasan, Facebook hizo declaraciones de que no usaría sus widgets sociales para rastrear a los consumidores. Alrededor del 30% del millón de sitios más visitados, incluidos los principales sitios web de noticias como el Wall Street Journal, el Washington Post y The Guardian en el Reino Unido, se habían registrado.

"Hicieron que las editoriales comenzaran a adoptar estos botones porque la representación explícita ante los editores fue ‘solo estamos recibiendo información sobre sus usuarios que hacen clic en el botón Me gusta y no vamos a utilizar esa información para competir contra ustedes’. En ese momento, creo que era cierto, pero así es como consiguieron que las editoriales se sumaran", dice Srinivasan.

A partir de 2014, una vez que se activó el seguimiento, Facebook estaba en condiciones de saber tanto sobre los lectores de cada periódico como el propio periódico. Además, sabía lo que esos mismos lectores leían en otros sitios web, o compraban en línea, y podía superar a los medios en línea por la venta de anuncios.

Pero para entonces, dice Srinivasan, era demasiado tarde para que las editoriales apagaran sus botones de Facebook, se habían vuelto dependientes de ellos. "Facebook tiene poder de monopolio en las redes sociales", dice ella, "por lo que ahora es increíblemente difícil para estos editores decir que no, porque ¿de qué otra manera van a distribuir su contenido a la gente en general?"

Seguimiento en todo el mundo

Facebook pudo usar una combinación de tecnología y los datos que tenía sobre individuos, no solo para rastrearlos a través de la web, dispositivos móviles y aplicaciones móviles, sino para asociar esas acciones con individuos únicos.

Facebook implementó su Atlas Ad Server para rastrear a los usuarios en múltiples dispositivos. Atlas utilizó una combinación de cookies y la ID de Facebook para identificar a los usuarios que navegaban en sus PC. En dispositivos móviles, utilizó una combinación de la identificación de Facebook, los kits de desarrollo de software de Facebook instalados en aplicaciones móviles y los identificadores únicos de Apple y Android.

Un informe posterior para la Comisión de Privacidad belga descubrió que el seguimiento de Facebook era mucho más invasivo que el seguimiento realizado por los anunciantes y otros servicios de seguimiento en la web.

"Facebook está en una posición única, ya que puede vincular fácilmente el comportamiento de navegación de sus usuarios con identidades del mundo real, interacciones de redes sociales, compras fuera de línea y datos altamente sensibles como información médica, religión y preferencias políticas", dijo.

Según Srinivasan, si un usuario eliminó las cookies de Facebook, el perfil que Facebook había compilado podría vivir bajo el nombre real del usuario, y la próxima vez que el usuario visitara el sitio de redes sociales, Facebook podría reemplazar las cookies.

"Para Facebook, no era el usuario 123456789 el que estaba leyendo Cómo salir del clóset frente a su esposa, era simplemente Jacob Greenberg", escribe.

16. Cómo Facebook evitó que las personas optaran por que no las rastrearan

Facebook no les dio a las personas la opción de dejar de ser rastreados por internet. Declinó honrar la configuración de No Rastrear en los navegadores web, creada para proteger a las personas de la vigilancia de sus actividades en línea.

En cambio, dirigió a las personas a un sitio web financiado por la industria de la publicidad, creado por la Alianza de Publicidad Digital (DAA) en los EE. UU., la Alianza de Publicidad Digital de Canadá y la Alianza Europea de Publicidad Digital Interactiva, que afirmaba protegerlos del seguimiento de los anunciantes.

El sitio de la DAA era engorroso y lento de usar, y a menudo informaba fallas técnicas. Incluso cuando los consumidores lograron optar por no participar, revela Srinivasan, solo pudieron optar por no recibir anuncios dirigidos, pero no se salieron de la vigilancia de Facebook.

Y un informe técnico para la Comisión de Privacidad belga encontró que incluso cuando los usuarios de Facebook optaron por no recibir publicidad en los sitios web de América del Norte y Europa, Facebook continuó rastreando sus actividades de navegación utilizando complementos sociales.

Los consumidores respondieron recurriendo al software de bloqueo de anuncios para proteger su privacidad. Poco después de que Facebook encendió su software de seguimiento, las búsquedas de "cómo bloquear anuncios" alcanzaron su punto máximo, más del doble en el espacio de un año.

Facebook ya tenía la tecnología para superar los bloqueadores de anuncios en los teléfonos móviles, pero los bloqueadores de anuncios en las computadoras de escritorio eran una seria amenaza para su modelo de negocio. Facebook señaló en sus presentaciones a la Comisión de Bolsa de Valores que el software de bloqueo de anuncios representaba una seria amenaza financiera: "Estas tecnologías han tenido un efecto adverso en nuestros resultados financieros y, si tales tecnologías continúan proliferando, en particular con respecto a las plataformas móviles, nuestros resultados financieros futuros pueden verse perjudicados".

Facebook corrió para desarrollar contramedidas. En agosto de 2016, anunció que había encontrado una manera de eludir los bloqueadores de anuncios, rediseñando el sitio web de Facebook para que los anuncios no se distinguieran de otro contenido.

Para el tercer trimestre de 2016, el director financiero (CFO) de Facebook, David Wehner, pudo informar un "crecimiento anual de 18% en los ingresos de los anuncios de escritorio", alegando que tal aceleración se debió "en gran medida, a nuestros esfuerzos en reducir el impacto del bloqueo de anuncios".

17. Si compras en Big Gay Ice Cream, Facebook sabrá

Facebook comenzó a perseguir planes para "llevar con tacto la identidad de Facebook a un mundo real lleno de dispositivos conectados en todas partes", conocido internamente como Project Gravity.

El objetivo de Facebook era extender su vigilancia en línea a las ubicaciones físicas de los usuarios de Facebook, utilizando balizas de Bluetooth para rastrear sus hábitos de compra sin tener que cargar datos GPS.

"Las asociaciones serán críticas, a medida que comencemos a explorar" la idea, dijo Ime Archibong, vicepresidente de asociaciones de Facebook, en febrero de 2014.

En noviembre de ese año, Facebook había identificado a 18 comerciantes en la ciudad de Nueva York para participar en un proyecto piloto de Project Gravity, incluido el Museo de Arte Moderno, Brooklyn Bowl, Big Gay Ice Cream, Grand Central Oyster Bar y la librería Strand.

"El objetivo es reducir la lista a 10 socios que 1) creen en la visión del proyecto y 2) reciben información sobre los riesgos (tanto reales como percibidos) asociados con la tecnología", dijo Archibong al equipo de asociaciados de productos.

“Hasta la fecha, hemos omitido a propósito el uso de los términos 'baliza' y 'hardware' en nuestras discusiones, y solo hemos mencionado 'aprovechar una variedad de tecnologías de ubicación' para despertar el apetito de nuestros socios sin revelar ninguna información material antes; en realidad estamos preparados para gestionar su difusión".

Poco después del lanzamiento del piloto a fines de enero de 2015, el equipo que trabaja en Gravity estaba planeando una actualización de Bluetooth para teléfonos móviles Android que permitiría que las balizas de hardware en la tienda comenzaran a rastrear a los usuarios.

Continúa en la parte 4, El dilema de Facebook: a pesar del escándalo, la privacidad no paga.

Investigue más sobre Auditoría y cumplimiento

ComputerWeekly.com.br
Close