¡®Proyecto Cazafantasmas¡¯ o c¨®mo Facebook habr¨ªa espiado a los usuarios de Snapchat

Un email de Mark Zuckerberg que presiona para analizar el tr¨¢fico cifrado de Snapchat, correos de altos directivos de Facebook y los reparos del responsable de seguridad. Todo esto aparece en los documentos que desgranan c¨®mo la compa?¨ªa habr¨ªa utilizado t¨¦cnicas de ciberespionaje para rastrear el comportamiento de los usuarios en su aplicaci¨®n rival.

Los emails se hicieron p¨²blicos a ra¨ªz de la demanda interpuesta por un grupo de anunciantes contra Meta. Acusan a la compa?¨ªa de tratar de monopolizar el mercado de la publicidad en las redes sociales entre 2016 y 2019. El intercambio de correos empieza en junio de 2016. Por aquel entonces Snapchat ten¨ªa empuje. Brevemente, se convirti¨® en la aplicaci¨®n de moda. En los seis primeros meses de ese a?o pas¨® de tener alrededor de 110 millones de usuarios a 148 millones. Mientras tanto, Facebook perd¨ªa comba con las nuevas generaciones e Instagram corr¨ªa peligro de quedarse anclada como app de fotograf¨ªa. Hasta que en agosto lanz¨® sus Instagram Stories, un calco de las Stories de Snapchat. Su buena acogida entre los usuarios cambi¨® las tornas.

Esto es solo el contexto del mercado. Lo que revelan los documentos es la creaci¨®n de un proyecto, denominado IAAP y apodado Ghostbusters (¡±cazafantasmas¡±) en clara referencia al logo de Snapchat. El objetivo era analizar el tr¨¢fico de esta aplicaci¨®n gracias a un kit integrado en la propia app de Facebook, que los usuarios se instalaban en sus dispositivos, y que serv¨ªa para recopilar informaci¨®n de su actividad digital en otras aplicaciones.

¡°Este kit le daba a Facebook la capacidad de que todo el tr¨¢fico que sal¨ªa de esos tel¨¦fonos terminase en un servidor controlado por Facebook¡±, aclara Juan Tapiador, catedr¨¢tico del Departamento de Inform¨¢tica de la Universidad Carlos III y especialista en ciberseguridad. ¡°En teor¨ªa, lo que hac¨ªan era ver si el tr¨¢fico era de Snapchat y, si era as¨ª, examinaban una serie de anal¨ªticas sobre c¨®mo los usuarios controlaban la aplicaci¨®n¡±.

Los documentos presentan un esquema de monitorizaci¨®n complejo y que utiliza t¨¦cnicas de ciberespionaje. El proyecto se basaba en la tecnolog¨ªa de Onavo, una aplicaci¨®n de VPN (red virtual privada) adquirida por Facebook en 2013. Deepak Daswani, consultor en ciberseguridad y hacking, se?ala que el tr¨¢fico de los usuarios habr¨ªa pasado por servidores que hac¨ªan de intermediarios. ¡°A nivel conceptual, esto se tratar¨ªa de un ataque de ¡®hombre en el medio¡¯ (man-in-the-middle), porque el servicio VPN se coloca en medio del tr¨¢fico entre el usuario y Snapchat. Y puede descifrar cierta cantidad de informaci¨®n¡±, cuenta.

Misi¨®n: interceptar y descifrar el tr¨¢fico de los usuarios

Los documentos reconstruyen c¨®mo Facebook habr¨ªa articulado su proyecto Cazafantasmas para interceptar el tr¨¢fico de los usuarios de ciertos sitios web. No solo de Snapchat, tambi¨¦n se habr¨ªa analizado el comportamiento de usuarios de YouTube y de Amazon. La compa?¨ªa habr¨ªa ofrecido incentivos a algunos usuarios para que se instalaran una aplicaci¨®n modificada de Facebook. Aquellos daban su consentimiento para que la app recogiera sus datos.

La iniciativa parte de un email enviado por Mark Zuckerberg, CEO de Facebook, el 9 de junio de 2016. En ¨¦l alud¨ªa a la falta de datos anal¨ªticos sobre Snapchat debido a que su tr¨¢fico estaba cifrado. ¡°Dado lo r¨¢pido que est¨¢n creciendo, parece importante pensar en una nueva forma de obtener informaci¨®n anal¨ªtica sobre ellos. A lo mejor necesitamos hacer paneles de usuarios o programar un software espec¨ªfico. Deb¨¦is pensar c¨®mo hacerlo¡±, escrib¨ªa Zuckerberg en un correo a tres altos directivos.

En un intercambio de emails se comenta la dificultad que entra?a conseguir la tecnolog¨ªa necesaria para observar el tr¨¢fico cifrado de Snapchat. Y se especula con que posiblemente requerir¨ªa ¡°aprobaci¨®n legal¡±. Sin embargo, el equipo de la VPN Onavo, dentro de Facebook, se puso a trabajar en ello y lograron una soluci¨®n que la compa?¨ªa despleg¨® durante tres a?os, seg¨²n los documentos publicados.

Hubo reparos en las m¨¢s altas instancias. La documentaci¨®n cita a Pedro Canahuati, que por entonces era vicepresidente de Ingenier¨ªa, Seguridad y Privacidad: ¡°No puedo pensar en ning¨²n argumento v¨¢lido para justificar que esto est¨¢ bien. Nadie que trabaje en ciberseguridad se sentir¨¢ c¨®modo con esto nunca, sin importar el consentimiento que obtengamos del p¨²blico general. El p¨²blico general sencillamente no sabe c¨®mo funciona esto¡±.

No es un esquema intuitivo, desde luego. Al conectarse a una p¨¢gina web, esta tiene que estar firmada por una Autoridad de Certificaci¨®n en la que conf¨ªa nuestro navegador o la aplicaci¨®n que usamos. Es la ¨²nica forma que tiene un dispositivo de saber que se est¨¢ conectando al sitio aut¨¦ntico y que no hay una suplantaci¨®n. Sin embargo, el kit que incorporaba la aplicaci¨®n modificada de Facebook distorsionaba este proceso.

Tapidador arroja algo de luz sobre c¨®mo funcionaba el proceso. ¡°Si t¨² te conectas a una p¨¢gina web y esa p¨¢gina web est¨¢ firmada por una ¡°autoridad de certificaci¨®n¡±, t¨² autom¨¢ticamente conf¨ªas en ella. Y sabes que te est¨¢s conectando a snapchat.com o a elpais.com. Cuando t¨² te instalabas la aplicaci¨®n de Facebook, lo que hac¨ªan era instalar internamente una autoridad de certificaci¨®n propia de Facebook¡±.

De esta forma, la autoridad de certificaci¨®n de Facebook indicaba al dispositivo que confiara en que el usuario se estaba conectando a Snapchat. Sin embargo, lo que ocurr¨ªa es que el tr¨¢fico del usuario iba a los servidores de Facebook primero, para analizarlo.

Daswani destaca la importancia de la tecnolog¨ªa VPN para lograr este rastreo de informaci¨®n: ¡°Facebook, si es proveedor de VPN puede ver todo mi tr¨¢fico que va a trav¨¦s de la VPN, mi tr¨¢fico que va hacia Twitter, hacia Facebook, hacia WhatsApp y hacia otro proveedor. Con esta aplicaci¨®n de Onavo lo que hac¨ªan es tener acceso al tr¨¢fico de red y lo analizaban¡±.

Todo este tr¨¢fico estaba cifrado. Es decir, un tercero ajeno a la ecuaci¨®n no podr¨ªa haberlo le¨ªdo sin m¨¢s. Pero Facebook ya no era un tercero, en realidad. En el cifrado del tr¨¢fico, las claves que protegen la informaci¨®n se generan mediante una colaboraci¨®n entre los dos extremos entre los que viajan los datos: la aplicaci¨®n y el servidor de destino. Y aqu¨ª el servidor de destino era el de Facebook, que formaba parte del proceso de generaci¨®n de claves y, con ellas, pod¨ªa descifrar el tr¨¢fico.

Tapiador explica que en el tr¨¢fico no sal¨ªa del usuario hacia Snapchat. ¡°Lo que pasa es que ellos luego hacen lo que se llama un proxy transparente. Cogen el tr¨¢fico, lo abren, lo miran y, desde ese servidor, se conectan a Snapchat pretendiendo que eres t¨²¡±, explica. De esta forma, los usuarios pueden ver el resultado de su actividad: si tocan en una imagen se abre, si hacen scroll la pantalla se mueve. ¡°Pero en medio hay alguien que ha abierto el sobre, ha le¨ªdo lo que hay dentro, lo ha vuelto a meter en otro sobre y lo ha mandado a su destino¡±.

En una carta enviada al juez que instruye el caso, Meta ¡ªFacebook, como compa?¨ªa, cambi¨® de nombre en 2021¡ª rebate que el software del que hablan los documentos est¨¦ vinculado con un posible monopolio. No hay olvidar que ese es el objeto de la demanda interpuesta. Tambi¨¦n incide en que los usuarios de la aplicaci¨®n modificada de Facebook (¡°Facebook Research App¡±) consintieron en dar sus datos de navegaci¨®n a la compa?¨ªa. ¡°No hay nada nuevo aqu¨ª. Se inform¨® de este asunto hace a?os. Las alegaciones de los demandantes carecen de fundamento y son completamente irrelevantes para el caso¡±, ha se?alado un portavoz de Meta en declaraciones a este peri¨®dico.

Seg¨²n los documentos del caso, en el proyecto Cazafantasmas trabaj¨® un equipo de directivos senior y alrededor de 41 abogados.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.