En 2016, Facebook lanzó un proyecto secreto diseñado para interceptar y descifrar el tráfico de red entre las personas que usan la aplicación de Snapchat y sus servidores. El objetivo era comprender el comportamiento de los usuarios y ayudar a Facebook a competir con Snapchat, según documentos judiciales recién desclasificados. Facebook llamó a esto “Proyecto Cazafantasmas”, en clara referencia al logo fantasmal de Snapchat.
El martes, un tribunal federal en California publicó nuevos documentos descubiertos como parte de la demanda colectiva entre los consumidores y Meta, la empresa matriz de Facebook.
Los documentos recién publicados revelan cómo Meta intentó obtener una ventaja competitiva sobre sus competidores, incluidos Snapchat y posteriormente Amazon y YouTube, mediante el análisis del tráfico de red de cómo sus usuarios interactuaban con los competidores de Meta. Dado el uso de cifrado de estas aplicaciones, Facebook necesitaba desarrollar tecnología especial para superarlo.
Uno de los documentos detalla el Proyecto Cazafantasmas de Facebook. El proyecto formaba parte del programa In-App Action Panel (IAPP) de la empresa, que utilizaba una técnica de “interceptar y descifrar” el tráfico cifrado de aplicaciones de usuarios de Snapchat, y posteriormente de usuarios de YouTube y Amazon, escribieron los abogados de los consumidores en el documento.
El documento incluye correos electrónicos internos de Facebook discutiendo el proyecto.
“Cada vez que alguien pregunta algo sobre Snapchat, la respuesta suele ser que debido a que su tráfico está cifrado, no tenemos análisis sobre ellos”, escribió Mark Zuckerberg, consejero delegado de Meta, en un correo electrónico fechado el 9 de junio de 2016 y publicado como parte de la demanda. “Dado lo rápido que están creciendo, parece importante encontrar una nueva forma de obtener análisis fiables sobre ellos. Quizás necesitamos hacer paneles o escribir software personalizado. Debes averiguar cómo hacer esto.
La solución de los ingenieros de Facebook fue utilizar Onavo, un servicio similar a VPN que Facebook adquirió en 2013. En 2019, Facebook cerró Onavo después de que una investigación de TechCrunch revelara que Facebook había estado pagando secretamente a adolescentes para usar Onavo para que la empresa pudiera acceder a toda su actividad web.
Después del correo electrónico de Zuckerberg, el equipo de Onavo se hizo cargo del proyecto y un mes después propuso una solución: los llamados kits que pueden ser instalados en iOS y Android que interceptan el tráfico para subdominios específicos, “permitiéndonos leer lo que de otro modo sería tráfico codificado para que podamos medir el uso en la aplicación”, se lee en un correo electrónico de julio de 2016. “Este es un enfoque de ‘hombre en el medio’.”
Contacto
¿Sabes más sobre el Proyecto Cazafantasmas? ¿O sobre otros problemas de privacidad en Facebook? Desde un dispositivo no laboral, puedes contactar de forma segura con Lorenzo Franceschi-Bicchierai en Signal en +1 917 257 1382, o a través de Telegram, Keybase y Wire @lorenzofb, o por correo electrónico. También puedes contactar a TechCrunch a través de SecureDrop.
Un ataque de hombre en el medio —ahora también llamado adversario en el medio— es un ataque en el que los hackers interceptan el tráfico de Internet que fluye de un dispositivo a otro a través de una red. Cuando el tráfico de red no está cifrado, este tipo de ataque permite a los hackers leer los datos internos, como nombres de usuario, contraseñas y otra actividad en la aplicación.
Dado que Snapchat cifraba el tráfico entre la aplicación y sus servidores, esta técnica de análisis de red no iba a ser efectiva. Por eso, los ingenieros de Facebook propusieron usar Onavo, que al activarse tenía la ventaja de leer todo el tráfico de red del dispositivo antes de que se cifrara y se enviara por Internet.
“Ahora tenemos la posibilidad de medir la actividad detallada en la aplicación” desde “analizar las estadísticas de Snapchat recopiladas de participantes incentivados en el programa de investigación de Onavo”, se lee en otro correo electrónico.
Más tarde, según los documentos judiciales, Facebook amplió el programa a Amazon y YouTube.
Dentro de Facebook, no hubo consenso sobre si el Proyecto Cazafantasmas era una buena idea. Algunos empleados, incluido Jay Parikh, entonces jefe de ingeniería de infraestructura de Facebook, y Pedro Canahuati, entonces jefe de ingeniería de seguridad, expresaron su preocupación.
“No puedo pensar en un buen argumento para que esto esté bien. Ninguna persona de seguridad se siente cómoda con esto, sin importar el consentimiento que obtengamos del público en general. El público en general simplemente no sabe cómo funciona todo esto”, escribió Canahuati en un correo electrónico incluido en los documentos judiciales.
En 2020, Sarah Grabert y Maximilian Klein presentaron una demanda colectiva contra Facebook, alegando que la empresa mentía sobre sus actividades de recopilación de datos y explotaba los datos que “extraía de manera engañosa” de los usuarios para identificar competidores y luchar injustamente contra estas nuevas empresas.
Un portavoz de Amazon se negó a hacer comentarios.
Google, Meta y Snap no respondieron a las solicitudes de comentarios.
Esta historia se actualizó para corregir el enlace a los documentos de descubrimiento en el cuarto párrafo.