Facebook dio a los fabricantes de dispositivos un acceso profundo a los datos

La compañía formó asociaciones de intercambio de datos con Apple, Samsung y docenas de otros fabricantes de dispositivos, lo que suscita preocupaciones sobre sus protecciones de privacidad.

Mientras Facebook buscaba convertirse en el servicio de redes sociales dominante en el mundo, llegó a acuerdos que permitían a los fabricantes de teléfonos y otros dispositivos acceder a grandes cantidades de información personal de sus usuarios.

Facebook ha alcanzado asociaciones de intercambio de datos con al menos 60 fabricantes de dispositivos, entre ellos Apple, Amazon, BlackBerry, Microsoft y Samsung, en la última década, comenzando antes de que las aplicaciones de Facebook estuvieran ampliamente disponibles en los teléfonos inteligentes, dijeron funcionarios de la compañía. Las ofertas permitieron a Facebook ampliar su alcance y permitir que los fabricantes de dispositivos ofrezcan a los clientes características populares de la red social, como mensajes, botones “me gusta” y libretas de direcciones.

Pero las asociaciones, cuyo alcance no se ha informado anteriormente, plantean inquietudes sobre las protecciones de privacidad de la compañía y el cumplimiento de un decreto de consentimiento de 2011 con la Comisión Federal de Comercio. Facebook permitió a las compañías de dispositivos acceder a los datos de los amigos de los usuarios sin su consentimiento explícito, incluso después de declarar que ya no compartiría dicha información con personas externas. El New York Times descubrió que algunos fabricantes de dispositivos podrían recuperar información personal incluso de los amigos de los usuarios que creían que habían prohibido cualquier intercambio.

[Esto es lo que sabemos acerca de las asociaciones de Facebook con los fabricantes de dispositivos].

La mayoría de las asociaciones siguen en vigor, aunque Facebook comenzó a cerrarlas en abril. La compañía recibió un intenso escrutinio por parte de legisladores y reguladores después de los informes de marzo en los que una firma de consultoría política, Cambridge Analytica, abusó de la información privada de decenas de millones de usuarios de Facebook.

En el furor que siguió, los líderes de Facebook dijeron que el tipo de acceso explotado por Cambridge en 2014 se cortó el año siguiente, cuando Facebook prohibió a los desarrolladores recopilar información de los amigos de los usuarios. Pero los funcionarios de la compañía no revelaron que Facebook había eximido a los fabricantes de teléfonos celulares, tabletas y otro hardware de tales restricciones.

“Se podría pensar que Facebook o el fabricante del dispositivo son confiables”, dijo Serge Egelman, investigador de la privacidad en la Universidad de California en Berkeley, quien estudia la seguridad de las aplicaciones móviles. “Pero el problema es que a medida que más y más datos se recopilan en el dispositivo, y si se puede acceder a ellos mediante aplicaciones en el dispositivo, se crean graves riesgos de seguridad y privacidad”.

En las entrevistas, los funcionarios de Facebook defendieron que el intercambio de datos fuera coherente con sus políticas de privacidad, la F.T.C. acuerdo y promesas a los usuarios. Dijeron que sus asociaciones se regían por contratos que limitaban estrictamente el uso de los datos, incluidos los almacenados en los servidores de los socios. Los funcionarios agregaron que no sabían de ningún caso en que la información hubiera sido mal utilizada.

La compañía considera a sus socios de dispositivos como extensiones de Facebook, que atienden a sus más de dos mil millones de usuarios, dijeron los funcionarios.

“Estas asociaciones funcionan de manera muy diferente a la forma en que los desarrolladores de aplicaciones usan nuestra plataforma”, dijo Ime Archibong, vicepresidente de Facebook. A diferencia de los desarrolladores que ofrecen juegos y servicios a los usuarios de Facebook, los socios del dispositivo pueden usar los datos de Facebook solo para proporcionar versiones de “la experiencia de Facebook”, dijeron los funcionarios.

Algunos socios de dispositivos pueden recuperar el estado de las relaciones de los usuarios de Facebook, la religión, la tendencia política y los próximos eventos, entre otros datos. Las pruebas realizadas por The Times mostraron que los socios solicitaron y recibieron datos de la misma manera que lo hicieron otros terceros.

La opinión de Facebook de que los fabricantes de dispositivos no son ajenos a la red permite a los socios ir más lejos, según The Times: pueden obtener información sobre los amigos de Facebook de un usuario, incluso aquellos que han negado el permiso de Facebook para compartir información con terceros.

En las entrevistas, varios ex ingenieros de software de Facebook y expertos en seguridad dijeron que estaban sorprendidos por la capacidad de anular las restricciones de uso compartido.

“Es como tener cerraduras de puerta instaladas, solo para descubrir que el cerrajero también le dio las llaves a todos sus amigos para que puedan entrar y revisar sus cosas sin tener que pedirle permiso”, dijo Ashkan Soltani, un investigador y miembro privado.

Los detalles de las asociaciones de Facebook han surgido en medio de un reconocimiento en Silicon Valley sobre el volumen de información personal recopilada en Internet y monetizada por la industria tecnológica. La recopilación generalizada de datos, aunque no está regulada en gran parte en los Estados Unidos, ha sido objeto de críticas crecientes por parte de los funcionarios electos en el país y en el extranjero y ha suscitado preocupación entre los consumidores sobre la forma en que se comparte su información.

“En una tensa aparición ante el Congreso en marzo, el director ejecutivo de Facebook, Mark Zuckerberg, enfatizó lo que dijo que era una prioridad de la compañía para los usuarios de Facebook.” Cada pieza de contenido que usted comparte en Facebook es suya “, declaró. “Tienes un control completo sobre quién lo ve y cómo lo compartes”.

Pero las asociaciones de dispositivos provocaron discusiones incluso en Facebook a partir de 2012, según Sandy Parakilas, quien en ese momento lideraba el cumplimiento de la publicidad y la privacidad de terceros para la plataforma de Facebook.

“Esto fue señalado internamente como un problema de privacidad”, dijo Parakilas, quien abandonó Facebook ese año y recientemente se ha convertido en un duro crítico de la compañía. “Es impactante que esta práctica aún pueda continuar seis años más tarde, y parece contradecir el testimonio de Facebook en el Congreso de que todos los permisos de amigos fueron desactivados”.

Las asociaciones se mencionaron brevemente en los documentos presentados a los legisladores alemanes que investigan las prácticas de privacidad del gigante de los medios sociales y fueron publicados por Facebook a mediados de mayo. Pero Facebook les proporcionó a los legisladores el nombre de un solo socio, BlackBerry, fabricante del dispositivo móvil que alguna vez fue ubicuo, y poca información sobre cómo funcionaron los acuerdos.

La presentación fue seguida del testimonio de Joel Kaplan, vicepresidente de políticas públicas globales de Facebook, durante una audiencia parlamentaria alemana a puerta cerrada en abril. Elisabeth Winkelmeier-Becker, una de las legisladoras que interrogó al Sr. Kaplan, dijo en una entrevista que creía que las asociaciones de datos divulgadas por Facebook violaban los derechos de privacidad de los usuarios.

“Lo que hemos estado tratando de determinar es si Facebook ha entregado a sabiendas los datos de los usuarios a otro lugar sin consentimiento explícito”, dijo la Sra. Winkelmeier-Becker. “Nunca hubiera imaginado que esto podría estar sucediendo en secreto a través de acuerdos con los fabricantes de dispositivos. Los usuarios de BlackBerry parecen haberse convertido en distribuidores de datos, sin saberlo y sin querer “.

En entrevistas con The Times, Facebook identificó a otros socios: Apple y Samsung, los dos fabricantes de teléfonos inteligentes más grandes del mundo, y Amazon, que vende tabletas.

Un portavoz de Apple dijo que la compañía confiaba en el acceso privado a los datos de Facebook para las características que permitían a los usuarios publicar fotos en la red social sin abrir la aplicación de Facebook, entre otras cosas. Apple dijo que sus teléfonos ya no tenían tal acceso a Facebook a partir de septiembre del año pasado.

Samsung se negó a responder preguntas sobre si tenía alguna asociación de intercambio de datos con Facebook. Amazon también se negó a responder a las preguntas.

Usher Lieberman, un portavoz de BlackBerry, dijo en un comunicado que la compañía usó datos de Facebook solo para dar a sus propios clientes acceso a sus redes y mensajes de Facebook. El Sr. Lieberman dijo que la compañía “no recopiló ni extrajo los datos de Facebook de nuestros clientes”, y agregó que “BlackBerry siempre ha estado en el negocio de proteger, no monetizar, los datos de los clientes”.

Microsoft se asoció con Facebook en 2008, lo que permitió que los dispositivos con tecnología de Microsoft hicieran cosas como agregar contactos y amigos y recibir notificaciones, según un portavoz. Añadió que los datos se almacenaban localmente en el teléfono y no se sincronizaban con los servidores de Microsoft.

Facebook reconoció que algunos socios sí almacenaban los datos de los usuarios, incluidos los datos de los amigos, en sus propios servidores. Un funcionario de Facebook dijo que, independientemente de dónde se guardaban los datos, se regía por acuerdos estrictos entre las empresas.

“Estoy sorprendido por la actitud que cualquier persona en la oficina corporativa de Facebook pensaría que permitir a terceros el acceso a los datos sería una buena idea”, dijo Henning Schulzrinne, profesor de informática en la Universidad de Columbia que se especializa en seguridad de redes y sistemas móviles.

El escándalo de Cambridge Analytica reveló cuán débilmente Facebook había vigilado el bullicioso ecosistema de desarrolladores que construyen aplicaciones en su plataforma. Abarcaron desde jugadores conocidos como Zynga, el fabricante del juego FarmVille, hasta jugadores más pequeños, como un contratista de Cambridge que utilizó un cuestionario realizado por unos 300,000 usuarios de Facebook para acceder a los perfiles de hasta 87 millones de amigos. .

Esos desarrolladores confiaban en los canales de datos públicos de Facebook, conocidos como interfaces de programación de aplicaciones o API. Pero a partir de 2007, la compañía también estableció canales de datos privados para fabricantes de dispositivos.

En ese momento, los teléfonos móviles eran menos potentes, y relativamente pocos de ellos podían ejecutar aplicaciones de Facebook independientes como las que ahora son comunes en los teléfonos inteligentes. La compañía continuó desarrollando nuevas API privadas para los fabricantes de dispositivos hasta 2014, difundiendo los datos de los usuarios a través de decenas de millones de dispositivos móviles, consolas de juegos, televisores y otros sistemas fuera del control directo de Facebook.

Facebook comenzó a reducir las asociaciones en abril 2018, luego de evaluar sus prácticas de privacidad y datos tras el escándalo de Cambridge Analytica. El Sr. Archibong dijo que la compañía había concluido que las asociaciones ya no eran necesarias para servir a los usuarios de Facebook. Aproximadamente 22 de ellos han sido cerrados.

El amplio acceso que Facebook proporcionó a los fabricantes de dispositivos plantea preguntas sobre su cumplimiento con un decreto de consentimiento de 2011 con la F.T.C.

El decreto prohibió a Facebook anular la configuración de privacidad de los usuarios sin obtener primero un consentimiento explícito. Ese acuerdo se derivó de una investigación que descubrió que Facebook había permitido a los desarrolladores de aplicaciones y otros terceros recopilar datos personales sobre los amigos de los usuarios, incluso cuando esos amigos habían pedido que su información permaneciera en privado.

Después de las revelaciones de Cambridge Analytica, la F.T.C. comenzó una investigación sobre si el intercambio continuo de datos de Facebook después de 2011 violó el decreto, lo que podría exponer a la empresa a multas.

Los funcionarios de Facebook dijeron que los canales de datos privados no violaron el decreto porque la compañía consideraba a sus socios de hardware como “proveedores de servicios”, similar a un servicio de computación en la nube pagado para almacenar datos de Facebook o una compañía contratada para procesar transacciones con tarjeta de crédito. De acuerdo con el decreto de consentimiento, Facebook no necesita buscar un permiso adicional para compartir datos de amigos con proveedores de servicios.

“Estos contratos y asociaciones son totalmente consistentes con la F.T.C. de Facebook. Decreto de consentimiento “, dijo el Sr. Archibong, el funcionario de Facebook.

Pero Jessica Rich, una antigua F.T.C. El funcionario que ayudó a dirigir la investigación anterior de la comisión en Facebook, no estuvo de acuerdo con esa evaluación.

“Bajo la interpretación de Facebook, la excepción se traga la regla”, dijo Rich, ahora con la Unión de Consumidores. “Podrían argumentar que cualquier intercambio de datos con terceros es parte de la experiencia de Facebook. Y no es así como el público interpretó su anuncio de 2014 de que limitarían el acceso de aplicaciones de terceros a los datos de amigos “.

Para probar el acceso de un socio a los canales de datos privados de Facebook, The Times usó la cuenta de Facebook de un reportero, con unos 550 amigos, y un dispositivo BlackBerry 2013, que controla la información que el dispositivo solicitó y recibió. (Los dispositivos BlackBerry más recientes, que ejecutan el sistema operativo Android de Google, no usan los mismos canales privados, dijeron los funcionarios de BlackBerry).

Inmediatamente después de que el periodista conectó el dispositivo a su cuenta de Facebook, solicitó algunos de los datos de su perfil, incluidos el ID de usuario, el nombre, la imagen, la información “sobre”, la ubicación, el correo electrónico y el número de teléfono móvil. Luego, el dispositivo recuperó los mensajes privados del reportero y las respuestas a ellos, junto con el nombre y la identificación de usuario de cada persona con la que se estaba comunicando.

Los datos fluyeron a una aplicación de BlackBerry conocida como Hub, que fue diseñada para permitir a los usuarios de BlackBerry ver todos sus mensajes y cuentas de redes sociales en un solo lugar.

El Hub también solicitó, y recibió, datos que la política de Facebook parece prohibir. Desde 2015, Facebook ha dicho que las aplicaciones solo pueden solicitar los nombres de amigos que usan la misma aplicación. Pero la aplicación BlackBerry tuvo acceso a todos los amigos de Facebook del reportero y, para la mayoría de ellos, devolvió información como el ID de usuario, cumpleaños, historial de trabajo y educación y si estaban actualmente en línea.

El dispositivo BlackBerry también pudo recuperar información de identificación de casi 295,000 usuarios de Facebook. La mayoría de ellos eran amigos en segundo grado de Facebook del reportero, o amigos de amigos.

En total, Facebook permite a los dispositivos BlackBerry acceder a más de 50 tipos de información sobre los usuarios y sus amigos, según The Times.

Fuente y foto: https://www.nytimes.com/interactive/2018/06/03/technology/facebook-device-partners-users-friends-data.html