fresnel6 - Fotolia
Facebook y la privacidad, evidencias de conducta poco ética
De dientes para afuera, Zuckerberg y su equipo argumentan cumplir con las leyes de protección de datos personales y privacidad de sus usuarios, pero la realidad es muy distinta, como se muestra en cada una de las evidencias plasmadas en este informe. Parte 2 de 4.
En la primera parte de este reportaje, se habló de cómo la red social liderada por Mark Zuckerberg ha vulnerado la privacidad de sus usuarios una y otra vez, y se enlistaron 22 ejemplos que evidencian que las intenciones de Facebook distan mucho de proteger los datos de sus miembros. A continuación, empezaremos a desglosar cada uno de los puntos enlistados.
1. Facebook rompe la promesa de no rastrear a los usuarios
Solo tres años después de su lanzamiento, Facebook tenía más de 50 millones de usuarios y estaba en camino de superar a su principal rival, MySpace. El ahora envalentonado Facebook incumplió silenciosamente su promesa de no rastrear a los usuarios cuando visitaron otros sitios web.
Más de 40 sitios web participaron en el lanzamiento del complemento de sitio web de Facebook, Beacon, incluido el sitio de subastas en línea eBay, la agencia de viajes Travelocity y Sony Pictures. Facebook lo promocionó como una oportunidad para que los usuarios de Facebook compartieran artículos, películas y productos que les interesaban con sus amigos.
Pero como descubrió Sean Lane, un gerente de proyectos técnicos de 28 años en una empresa de impresión, Beacon a menudo compartía los hábitos de navegación de los usuarios con sus amigos, lo quisieran o no.
Cuando compró un anillo de diamantes de la eternidad como sorpresa para su esposa, la compra apareció en su línea de tiempo de Facebook, junto con detalles del 51% de descuento que le ofrecieron. En dos horas, recibió un mensaje instantáneo de su esposa preguntando: "¿Para quién es este anillo?". El incidente arruinó su Navidad.
Facebook niega el seguimiento secreto
Si alguien sospechaba que Facebook estaba usando subrepticiamente a Beacon para rastrear a las personas sin su consentimiento, los ejecutivos de Facebook lo rechazaron rápidamente. En una entrevista con el New York Times, Chamath Palihapitiya, vicepresidente de marketing y operaciones de productos en Facebook, rechazó tales sugerencias como "información errónea que se propaga innecesariamente".
Eso fue antes de que Stefan Berteau, ingeniero de investigación sénior en Threat Research Group de CA, una compañía de software de EE. UU., analizara a Beacon y demostrara que los comentarios de Palihapitiya eran falsos. El código depositó subrepticiamente cookies de seguimiento y transmitió datos sobre las actividades de los usuarios en sitios web de terceros, ya sea que hayan hecho clic en la ventana emergente de Facebook para compartir información con sus amigos o no. Más desconcertante, Berteau descubrió que Beacon transmitió información a Facebook sobre la navegación web incluso cuando se había cerrado la sesión de la cuenta.
Presentó sus hallazgos en una nota de investigación: La tergiversación de Facebook de la amenaza de Beacon a la privacidad. Beacon le permitió a Facebook perfilar el comportamiento del consumidor en "un nivel de detalle casi sin precedentes", reveló. Podría combinar datos de sitios web de terceros con los datos que ya tenía en su círculo de amigos, su educación, patrones de comunicación y ubicaciones geográficas.
Facebook emitió rechazos durante cinco días, hasta que Zuckerberg finalmente retrocedió y se disculpó. "Hemos cometido muchos errores al crear esta función, pero hemos cometido aún más con la forma en que manejamos la función. Simplemente hicimos un mal trabajo con este lanzamiento”, dijo. En el futuro, las personas tendrían que optar por compartir información de sitios web de terceros con sus amigos, y Facebook introdujo una opción para optar por no utilizar Beacon en absoluto.
La solución de una demanda colectiva presentada por Sean Lane y otros 19 finalmente puso fin a Beacon. Más tarde, Facebook celebró el desastre al nombrar una sala de conferencias en honor de Beacon.
2. No hay nada oculto que no sea revelado
Facebook dio su primer gran paso atrás de la privacidad a fines de 2009. Casi de la noche a la mañana, Facebook cambió su configuración de privacidad para hacer que todos los perfiles de usuario y fotografías se puedan buscar públicamente, a pesar de que muchos miembros de Facebook habían optado por mantenerlos en privado.
El cambio provocó una reacción violenta de los grupos de privacidad, que acusaron a Facebook de comportarse engañosamente al no revelar completamente el impacto de los cambios de su política de privacidad en los usuarios. A la gente le preocupaba que la información privada, como la afiliación sindical, las afiliaciones políticas o simplemente fotografías vergonzosas, se hiciera pública.
Esto fue serio. Investigadores del MIT descubrieron que podían usar la lista pública de amigos de las personas para determinar si las personas eran homosexuales. En Irán, el gobierno emitió amenazas contra los iraníes que viven en el extranjero que usaron Facebook para criticar al gobierno, y tomó represalias contra sus familiares que aún viven en Irán.
Barry Schnitt, director de comunicaciones corporativas y políticas públicas de Facebook, ofreció una solución, diciendo que "los usuarios pueden mentir sobre su ciudad natal o quitar su foto de perfil para proteger su privacidad", aparentemente sin saber que hacerlo sería una clara violación de los términos de servicio de Facebook.
De manera predeterminada, la información personal de las personas también estuvo disponible para desarrolladores de aplicaciones y sitios web de terceros afiliados a Facebook. Eso incluía los nombres de los usuarios de Facebook, la ubicación, el historial laboral y educativo, las opiniones políticas, el estado de la relación, las copias de fotografías en su línea de tiempo, la lista de amigos, los intereses de citas y los libros y películas que les interesaban.
Un estudio realizado por la universidad de Virginia en 2007 descubrió que la mayoría de las aplicaciones de Facebook ya estaban accediendo a más información personal de la que necesitaban para funcionar. ¿Realmente necesitaban más?
3. ¿Por qué no dar clic en Me gusta?
Zuckerberg anunció los botones Me gusta en la Conferencia de desarrolladores F8 2010, como una nueva forma para que las personas compartan sitios web, fotos y publicaciones de blog. En las primeras 24 horas, Facebook publicaría mil millones de botones Me gusta en la web, dijo.
El caso de los editores en particular fue convincente. Justin Osofsky, entonces director de asociaciones de medios, afirmó en una presentación que los grupos de periódicos habían visto un gran aumento en el tráfico desde que agregaron los complementos sociales de Facebook, incluyendo ABC News en un 290%, Gawker en un 200% y Sporting News en un 500%. Quienes solían dar clic en el botón Me gusta tenían más amigos y traían lectores más jóvenes a los periódicos.
Después de la conferencia, cuatro senadores demócratas, dirigidos por Charles Schumer, escribieron una carta abierta con sus preocupaciones sobre las políticas de privacidad de Facebook. Tenían razón al hacerlo.
Tentáculos extensibles de Facebook
A finales de año, un investigador holandés, Arnold Roosendaal, publicó una nota de investigación que revelaba que el botón Me gusta de Facebook podía rastrear en silencio las actividades de internet de las personas, fueran o no miembros de Facebook. "Los tentáculos de Facebook van mucho más allá de su propia plataforma y miembros", escribió.
"La preocupación más destacada es que los usuarios de la web están de alguna manera engañados", escribió Roosendaal. “Debido a la forma en que se presenta el botón, los usuarios de la web esperan que se transfieran datos cuando usan el botón. Para el usuario web común es difícil imaginar que los datos se transfieren incluso cuando no se hace clic en el botón".
El botón Me gusta infringió las leyes de protección de datos de tres maneras importantes: la recopilación de datos se realizó sin el conocimiento y consentimiento de las personas; Facebook no logró aclarar los propósitos de la recopilación de datos; y los interesados no tenían derecho a revisar sus datos ni a solicitar su corrección o eliminarlos.
Una investigación posterior realizada para el Wall Street Journal por Brian Kennish, un ex ingeniero de Google, descubrió que Facebook obtuvo datos de navegación de los visitantes de más de 330 de los 1,000 sitios web más populares, según la clasificación de Google.
Bret Taylor, director de tecnología de Facebook, dijo al periódico: "No los usamos para el seguimiento y no están destinados para el seguimiento". Taylor acordó que el sitio principal de Facebook también depositaba cookies en la computadora de cualquier persona que visitara la página de inicio de Facebook, pero dijeron que se usaron para proteger el sitio de ataques cibernéticos y otras funciones.
Pero el problema no desapareció. En septiembre de 2011, el blogger Nik Cubrilovic dio seguimiento a la investigación de Roosendaal. Descubrió que cuando los usuarios se desconectaban de Facebook, la red social podía rastrearlos cada vez que visitaban una página con un complemento de Facebook.
“Incluso si está desconectado, Facebook aún lo sabe y puede rastrear cada página que visita que tiene Facebook integrado. La única solución es eliminar todas las cookies de Facebook en su navegador, o usar un navegador separado para las interacciones de Facebook", escribió.
Según Srinivasan, Facebook se movió rápidamente para asegurar al público que no estaban siendo espiados, movilizando a ingenieros y personas de relaciones públicas para que respondieran. Gregg Stefancik, un ingeniero que trabaja en sistemas de inicio de sesión en Facebook, escribió en el blog de Cubrilovic que "Facebook no tiene interés en rastrear personas" y que "las cookies no se usan para rastrear".
Facebook respondió a los hallazgos de Cubrilovic cambiando la forma en que se almacenan sus cookies, para que no registren la información de la cuenta de las personas. Sin embargo, Srinivasan argumenta que aún quedaban preguntas sobre por qué Facebook había creado sus cookies para contener los números de identificación de los usuarios si la empresa no estaba interesada en el rastreo.
4. Las bóvedas de Facebook contienen 57 variedades de datos confidenciales
En 2011, el entonces estudiante de derecho Max Schrems de 23 años usó el derecho europeo para adquirir una copia de sus datos de Facebook. Recibió un archivo de 1.200 páginas que contenía 57 categorías diferentes de datos, incluida información personal altamente confidencial, como sus creencias religiosas y detalles de tarjetas de crédito.
Facebook mantuvo gran parte de su información a perpetuidad, incluidos los enlaces que compartió con amigos, las publicaciones que hizo en su muro de Facebook y las ubicaciones donde se registró en Facebook, independientemente de si había eliminado o no los datos.
Posteriormente, los reguladores identificaron otras 42 categorías de datos recopilados por Facebook, incluidos detalles sobre las relaciones con amigos, las direcciones de correo electrónico de los amigos, las etiquetas eliminadas y el seguimiento de conversiones.
5. Facebook silenciosamente presenta una patente de seguimiento
Facebook silenciosamente presentó una patente para llevar a cabo el seguimiento que había prometido a sus clientes que nunca haría. La patente, fechada en septiembre de 2011, propuso recopilar datos sobre las actividades de los usuarios de Facebook en sitios que no son de Facebook. Tendría perfiles que contienen detalles biográficos y demográficos, experiencia laboral, historial educativo, pasatiempos o preferencias y transacciones con tarjetas de crédito, que podrían utilizarse para generar ingresos publicitarios.
Facebook imaginó alentar a las personas a descargar una aplicación de teléfono móvil que usaría GPS para registrar sus movimientos. Las televisiones podían transmitir mensajes que indicaban qué programa estaban viendo las personas en un momento determinado en un canal en particular. Las posibilidades eran "ilimitadas".
6. Cócteles por todas partes, sin importar la edad
En marzo de 2011, el personal de Facebook descubrió que una aplicación del fabricante mundial de bebidas Diageo podía compartir recetas de cócteles alcohólicos con usuarios de Facebook menores de 21 años, la edad mínima en Estados Unidos para comprar alcohol, y potencialmente tan jóvenes como 13 años, revelan documentos confidenciales.
El incidente planteó preguntas internas respecto a si Facebook estaba protegiendo adecuadamente los datos de los jóvenes cuando usaban Facebook para suscribirse a aplicaciones de terceros. La red social había creado una función de "control de la edad del alcohol" para garantizar que Facebook nunca entregara a los menores de edad información relacionada con el alcohol.
David Schatz, un ingeniero de soluciones, descubrió que había algunos problemas serios con esta función. El control de la edad para el consumo de alcohol permitió a las aplicaciones descargar listas de amigos de personas, incluso si tenían menos de 21 años, y lo que es peor, las aplicaciones podrían compartir información sobre bebidas alcohólicas con usuarios de Facebook menores de la edad legal para beber.
Su colega, Arthur Rudolph, un joven ingeniero de software, investigó el problema. Encontró una nota en los archivos que mostraba que, aunque las restricciones de edad funcionaban para los elementos que se mostraban en el lienzo de Facebook, no se aplicaban a la información que las aplicaciones de terceros obtenían de las interfaces de programación de aplicaciones (API) de Facebook.
"Esta ha sido la implementación desde el primer día de las restricciones de la aplicación, probablemente hace cinco o seis años", escribió a sus colegas durante un chat en línea. "Supongo que algún abogado sabe sobre esto".
7. Facebook resuelve acusaciones de reclamos "injustos y engañosos"
Las actividades de Facebook provocaron una gran cantidad de quejas sobre sus "prácticas injustas y engañosas". Facebook llegó a un acuerdo con la Comisión Federal de Comercio de EE. UU. en noviembre de 2011 por cargos de haber engañado a los consumidores al no cumplir con las promesas de privacidad.
La queja de la FTC acusó a Facebook de hacer afirmaciones que fueron injustas y engañosas que violaron la ley federal, y que Facebook había hecho promesas de proteger los datos de sus clientes, pero no mantuvo esas promesas.
La FTC alegó:
- El sitio de redes sociales había prometido a los usuarios que no compartiría su información personal con los anunciantes, pero luego lo hizo.
- Facebook había afirmado que las aplicaciones de terceros, como las aplicaciones de teléfonos móviles en Facebook, solo tendrían acceso a los datos que necesitaban. De hecho, tenían casi todos los datos personales de los usuarios.
- Facebook les había dicho a los usuarios que podían restringir su intercambio de datos a audiencias limitadas, por ejemplo, a "solo amigos". Sin embargo, la configuración no impidió que su información fuera compartida por las aplicaciones que usaban sus amigos.
- Facebook había cambiado el diseño de su sitio web para hacer pública la información que los usuarios de Facebook habían marcado previamente como privada, sin buscar primero la aprobación.
- Facebook había afirmado erróneamente que cumplía con el acuerdo Safe Harbor de EE. UU. y la Unión Europea para transferir datos entre la UE y los EE. UU.
Facebook negó expresamente las acusaciones como parte de la redacción del acuerdo acordado. Sin embargo, la FTC ordenó a Facebook que no "tergiverse de ninguna manera" cómo protege la privacidad y la seguridad de los datos de sus clientes en el futuro. El acuerdo también requería que Facebook dejara en claro a los usuarios qué datos privados comparte con terceros, que establezca un programa de privacidad interno, realice evaluaciones de riesgos de privacidad y realice auditorías de privacidad dos veces al año.
Hubo una voz discrepante contra el acuerdo por parte del comisionado J Thomas Rosche, quien hizo la observación profética de que el acuerdo no requería que Facebook abordara las "prácticas engañosas de intercambio de información de aplicaciones" que utilizaban los datos de Facebook. Si su advertencia hubiera sido atendida, Facebook podría haber evitado el escándalo de Cambridge Analytica que lo sacudió en 2018.
Rosche criticó a la FTC por permitir que Facebook niegue sus acusaciones como parte del acuerdo. No había ninguna disposición en las reglas de la FTC para tal movimiento. Dijo que la FTC solo podía aceptar un acuerdo de consentimiento si había "razones para creer" que una organización estaba participando en una práctica injusta o engañosa.
8. Zuckerberg planea obtener datos de los desarrolladores de aplicaciones
En 2012, con la oferta pública inicial (IPO) de Facebook en su haber, Zuckerberg comenzó a desarrollar planes para aprovechar el producto más valioso de Facebook (los datos que recopila sobre los usuarios de Facebook y sus amigos) para hacer crecer la empresa y recopilar más datos sobre las actividades de las personas fuera de Facebook.
Zuckerberg propuso un nuevo modelo de negocio al que llamó "reciprocidad total". Su idea era que Facebook estaría de acuerdo en dar a los desarrolladores de aplicaciones acceso a su gráfico social (datos de sus suscriptores) si acordaban compartir con Facebook todas las acciones sociales que los usuarios realizan en su plataforma.
El potencial de Facebook para recopilar datos adicionales sobre las actividades de las personas en aplicaciones y sitios web de terceros era enorme. Según los documentos presentados ante la SEC, para entonces, más de nueve millones de sitios web y aplicaciones habían creado integraciones con Facebook.
Mike Vernal, entonces vicepresidente de productos e ingeniería en Facebook, explicó el plan de Zuckerberg a los gerentes sénior en noviembre de 2012. En el futuro, dijo, Facebook "requeriría que los socios nos dieran una API, por lo que ambos exponemos las API entre cada uno y podemos acceder a los datos del otro”.
"La gran mayoría de nuestro tiempo (80% más) debería gastarse en obtener datos o dinero de los desarrolladores", dijo. Los objetivos centrales de Facebook se convirtieron en "cómo maximizar la adquisición de datos o maximizar la adquisición de ingresos".
Los gerentes de Facebook presionan al personal para que se mueva rápidamente. Justin Osofsky, entonces vicepresidente, se quejó a Vernal de que Facebook no estaba progresando lo suficiente con "aplicaciones que leen muchos datos con poco intercambio de valor recíproco".
Una nota interna muestra que Facebook planeaba reservarse el derecho de "rastrear" los sitios web o aplicaciones de sus socios si se negaban a compartir los datos de sus usuarios con Facebook.
La gerente de producto del grupo, Rose Yao, escribió: “Si el socio tiene una API, utilizaremos ese mecanismo. También nos reservamos el derecho de rastrear el sitio web del asociado para obtener los datos del usuario".
Continuó: “Los socios no pueden incluirnos en la lista negra o impedir que Facebook rastree [su] sitio o use la API. Si lo hacen, Facebook se reserva el derecho de impedir que el socio use nuestras API".
Sin embargo, Facebook necesitaba un chip de negociación para que los desarrolladores de aplicaciones cumplieran. Los ejecutivos razonaron que, si el gráfico social de Facebook todavía estuviera ampliamente disponible a través de APIs, los desarrolladores no tendrían ningún incentivo para compartir sus datos.
Por otro lado, si Facebook controlaba estrictamente las API y controlaba su acceso a los datos de los usuarios, los desarrolladores que dependían en gran medida de ellos se verían obligados a corresponder.
La compañía comenzó a restringir sus interfaces de programación de aplicaciones, eliminando el acceso automático de los desarrolladores a los datos de Facebook. Al mismo tiempo, comenzó un programa de lista blanca para dar a los desarrolladores de aplicaciones favoritos acceso continuo a sus APIs.
Las conversaciones entre Zuckerberg y Sam Lessin, vicepresidente de gestión de productos, sugirieron que los ejecutivos de Facebook usaban la privacidad como un glosario para hacer más agradables sus planes de apagar sus APIs a los desarrolladores y al público.
"El mensaje para el ecosistema se convierte en que estamos despreciando algunas cosas por razones de privacidad o para simplificar nuestro modelo para los usuarios, estamos aplicando términos no competitivos que siempre hemos tenido y estamos abriendo una serie de nuevas APIs de listas blancas para las mejores empresas que desean crear los mejores servicios sociales y que desean trabajar con nosotros a profundidad”, escribió Lessin.
Facebook anunció que restringiría el acceso de los desarrolladores a las API el 30 de abril de 2014, pero los documentos internos revelan que la red social ya había incluido en la lista blanca a 5.200 en noviembre de 2013.
Continúen leyendo la tercera parte de este informe: Privacidad en juego, cómo Facebook vulnera los derechos de sus usuarios.