Facebook sabe mucho más de ti de lo que piensas… aunque ni siquiera tengas cuenta

Facebook Privacy

Hace un par de semanas, Facebook pasó a ocupar todos los titulares al confirmar un problema de seguridad que afectaba a los datos personales de más de seis millones de usuarios. Según explicaba esta red social, el bug permitía que un usuario que descargaba una copia de su archivo personal viera en sus contactos alguno datos que estos no habían hecho públicos. Sin embargo, este fallo dejó al descubierto algo peor: Facebook tiene más información nuestra de lo que dice.

Cuando Facebook notificó a los usuarios afectados que algunos de los datos habían estado disponibles para otros, algunas personas se sorprendieron al ver que la red social tenía en su poder direcciones de correo alternativas o de trabajo, o incluso teléfonos móviles que sí les pertenecían a ellos pero que, sin embargo, nunca los habían compartido con la red social. ¿Cómo consiguió Facebook estos datos? ¿Existe un “perfil sombra” de usuarios y no usuarios en los que se almacena toda la información que tienen sobre nosotros y de la que desconocemos su existencia?

Buscar contactos, un arma de doble filo

¿Qué explicación tiene la situación que acabamos de comentar? Vamos a verlo con un ejemplo. Imaginemos que un usuario A se ha registrado en Facebook con una dirección A@direcciondecorreo.zxc. Es normal, por tanto, que la red social disponga de esa información. Pero resulta que, cuando estos avisaron de los fallos de seguridad, a A le llegó un correo avisando de que su dirección A@direcciondetrabajo.zxc había podido ser vista por terceros. A nunca había compartido con Facebook esa dirección, que sólo usa para temas profesionales. ¿Cómo es posible que Facebook la tenga?

La respuesta es muy sencilla: gracias a la funcionalidad de “Buscar amigos” a partir de distintas opciones. Si un usuario B que busca contactos a través de esta opción sube a los servidores de Facebook su agenda completa, la red social almacena, supuestamente, estos datos, comparándolos con los que ya tiene. Si B tiene a A entre sus contactos con su correo electrónico A@direcciondecorreo.zxc, Facebook ya puede saber qué número de teléfono le corresponde a A. Y viceversa: a través del número de teléfono puede asociar a A otras direcciones de correo, como A@direcciondetrabajo.zxc, sin que éste la haya especificado.

Facebook find friends“Buscar amigos” en la versión web de Facebook

¿Hace Facebook esto a escondidas del usuario? No exactamente: si el usuario consulta más información sobre cómo funciona el importar contactos, aparece un mensaje mal traducido donde se sugiere que los datos se almacenarán en los servidores de la red social:

Importa contactos de tu cuenta y almacénalos en los servidores de Facebook, donde pueden utilizarse para ayudar a otros a buscar personas o conectar con ellas, así como para crear sugerencias para ti u otros. Puede importarse la información de contacto procedente de tu lista de contactos y de tus carpetas de correo. También pueden importarse los contactos profesionales, pero sólo debes enviar invitaciones a tus contactos personales. Invita únicamente a amigos a los que les gustará recibir la invitación.

Los “perfiles sombra”, ¿mito o realidad?

Cuando Facebook avisó del bug, argumentaban que el problema era que la información había llegado a gente que no debería tenerla, pero no explicaba el origen de esta información en primer lugar ni los motivos para tenerla guardada en sus servidores. Durante varios años se ha venido teorizando con la existencia de “perfiles sombra”, supuestos perfiles de usuario que sólo Facebook conoce y en los que se almacena todo tipo de datos: no sólo los que aporta el usuario en sí, sino también los que aportan sus amigos con métodos como el que acabamos de describir.

¿Y qué ocurre si no tienes cuenta de Facebook y piensas que estás totalmente a salvo de estos problemas de privacidad? Pues que estás equivocado: si un usuario te tiene en su agenda y en algún momento la ha importado a Facebook, la red social ya tiene a disposición tu información. Basta con compararla con la lista de contactos que hayan subido otros usuarios para crear una lista de relaciones, por mucho que no tengas tu propio usuario en la plataforma.

Facebook siempre ha insistido en que no existe ningún “perfil sombra” de los usuarios, pero este bug, e incluso la explicación oficial de la gente de Mark Zuckerberg, ha parecido confirmarlo. Es más, han reconocido que parte de la información filtrada no pertenece a usuarios de Facebook. ¿Por qué entonces la tiene la red social en sus servidores? Aquí entrarían en juego los “perfiles sombra” de usuarios no registrados que tanto han dado de hablar durante los últimos años.

“There were other email addresses or telephone numbers included in the downloads, but they were not connected to any Facebook users or even names of individuals”.

Teléfono conocido, sí o sí, en Android

Pero el problema de seguridad que comentamos más arriba no es el único que ha acechado a Facebook últimamente. Symantec anunció la semana pasada haber descubierto que la app de Facebook para Android enviaba el número de teléfono desde el cual se estaba ejecutando a los servidores de la compañía. Esto se producía nada más que se abriera la aplicación, aunque el usuario no se hubiera identificado todavía ni introducido sus datos de acceso.

Desde Facebook no tardaron en reconocer el problema y afirmaron que no sólo dejaron de recoger números sino que, además, borraron también los que se habían ido almacenando durante el tiempo que se mantuvo activo el bug. El bug se ha solucionado en la nueva versión en beta de la app de Facebook, pero las versiones anteriores siguen teniendo este problema (independientemente de que la plataforma trate o no los datos, los sigue enviando).

Lo que Facebook sabe de las webs que visitas

Facebook tiene tus correos (incluso los privados) y tu teléfono, pero además puede saber todas las páginas web que visitas. Esto no es algo nuevo: en 2010 un estudiante de doctorado holandés realizó un estudio en detalle que demostraba que los botones “me gusta”, que se pueden encontrar en multitud de medios y que muestran el número de “likes” que tiene una determinada página, también pueden ayudar a realizar un historial web que muestre todas las páginas por las que ha pasado un usuario.

Facebook PrivacyEjemplo de los widgets sociales de Facebook

Arnold Roosendaal, el autor del paper, explica que tanto los usuarios que tienen cuenta (independientemente de que estén logueados o no logueados, si alguna vez lo han estado y no han borrado cookies, tienen una cookie de Facebook en su ordenador) como los que no la tienen pero han visitado algún sitio web con Facebook Connect (que, al parecer, también deja una cookie en todos los ordenadores, independientemente de que sean usuarios o no), parecen ser vulnerables a este tipo de seguimiento.

Cuando un usuario con cuenta visita una web con uno de estos botones, al estar estos alojados en Facebook, se produce un intercambio de información con los servidores de la red social. En alguna ocasión Facebook negó estas prácticas (no de forma oficial, sino a través de algún ingeniero), pero después llegaron a reconocerlas aunque aclararon que toda la información es “anonimizada” por lo que no puede enlazarse a un usuario en concreto y además se borra periódicamente. Esta práctica de seguimiento a través de los widgets sociales también la utilizan otros como Twitter o Google.

Aún llega más allá: Facebook podría saber lo que compras

A finales de 2012, Facebook volvió a acaparar todos los titulares debido a su acuerdo con Datalogix, una compañía que administra los datos de las tarjetas de fidelización de distintos comercios en Estados Unidos (pensemos que podría equivaler aquí a la tarjeta El Corte Inglés o la tarjeta Family de Ikea, por poner dos ejemplos). No es ningún secreto que estas tarjetas sirven para generar patrones de compra, pero ¿complementan de algún modo a Facebook?

La respuesta parece ser que sí, ¿por qué iban a firmar un acuerdo si no fuera así? La idea es la siguiente: comparando qué anuncios se muestran a un usuario con lo que éste termina comprando (estas tarjetas suelen tener asociado un email, si coincide con el que tiene Facebook, la parte difícil ya está hecha), pueden entrar a valorar la efectividad (o la falta de la misma) de los anuncios que muestra a dicho usuario la red social.

Desde Facebook se apresuraron a asegurar que sólo compartían con Datalogix “IDs anónimas correspondientes a clientes expuestos a una determinada campaña de anuncios”. ¿Y si quieres darte de baja a pesar de todo? En Facebook no puedes hacer nada, puesto que ellos tienen contemplado en sus términos el poder compartir tus datos (eso sí, anonimizados) con terceros. Tendrías que ir hasta Datalogix y darles todos tus datos para que ellos te eliminen de sus servidores. Paradójico, ¿verdad?

Facebook, ¿nuestro yo digital al completo?

Facebook sabe mucho sobre nosotros gracias a la información que nosotros mismos les proporcionamos a sabiendas (hay algunos estudios que dicen poder averiguar con exactitud la personalidad de un usuario basándose en sus “me gusta”, por ejemplo), pero también pueden llegar a conocer mucho más de forma indirecta, como acabamos de ver. Y esto, cuando hay escándalos como el de PRISM en el aire, deja patente el poco control que el usuario final tiene sobre sus datos en Internet.


Publicado

en

por

Etiquetas: