En 2016, Facebook lanzó un proyecto secreto diseñado para interceptar y descifrar el tráfico de red entre las personas que utilizan la aplicación de Snapchat y sus servidores. El objetivo era comprender el comportamiento de los usuarios y ayudar a Facebook a competir con Snapchat, según los documentos judiciales recién desapejados. Facebook llamó a esto «Proyecto Cazafantasmas», en una clara referencia al logotipo fantasma de Snapchat.
El martes, un tribunal federal de California publicó nuevos documentos descubiertos como parte de la demanda colectiva entre los consumidores y Meta, la empresa matriz de Facebook.
Los documentos recientemente publicados revelan cómo Meta trató de obtener una ventaja competitiva sobre sus competidores, incluyendo Snapchat y más tarde Amazon y YouTube, analizando el tráfico de red de cómo sus usuarios estaban interactuando con los competidores de Meta. Dado el uso del cifrado por parte de estas aplicaciones, Facebook necesitaba desarrollar una tecnología especial para evitarlo.
Uno de los documentos detalla el Proyecto Cazafantasmas de Facebook. El proyecto formaba parte del programa In-App Action Panel (IAPP) de la compañía, que utilizaba una técnica para «interceptar y descifrar» el tráfico de aplicaciones cifradas de los usuarios de Snapchat, y más tarde de los usuarios de YouTube y Amazon, escribieron los abogados de los consumidores en el documento.
El documento incluye correos electrónicos internos de Facebook sobre el proyecto.
«Cada vez que alguien hace una pregunta sobre Snapchat, la respuesta suele ser que, debido a que su tráfico está encriptado, no tenemos análisis sobre ellos», escribió el director ejecutivo de Meta, Mark Zuckerberg, en un correo electrónico con fecha 9 de junio de 2016, que se publicó como parte de la demanda. «Dada la rapidez con la que están creciendo, parece importante encontrar una nueva forma de obtener análisis fiables sobre ellos. Tal vez necesitemos hacer paneles o escribir software personalizado. Deberías averiguar cómo hacer esto».
La solución de los ingenieros de Facebook era utilizar Onavo, un servicio similar a una VPN que Facebook adquirió en 2013. En 2019, Facebook cerró Onavo después de que una investigación de TechCrunch revelara que Facebook había estado pagando en secreto a los adolescentes para que usaran Onavo para que la compañía pudiera acceder a toda su actividad web.
Después del correo electrónico de Zuckerberg, el equipo de Onavo se hizo cargo del proyecto y un mes más tarde propuso una solución: los llamados kits que se pueden instalar en iOS y Android que interceptan el tráfico de subdominios específicos, «permitiendo leer lo que de otro modo sería tráfico cifrado para que podamos medir el uso dentro de la aplicación», se lee en un correo electrónico de julio de 2016. «Este es un enfoque de ‘hombre en el medio'».
Un ataque de hombre en el medio, hoy en día también llamado adversario en el medio, es un ataque en el que los piratas informáticos interceptan el tráfico de Internet que fluye de un dispositivo a otro a través de una red. Cuando el tráfico de la red no está cifrado, este tipo de ataque permite a los piratas informáticos leer los datos dentro, como nombres de usuario, contraseñas y otra actividad dentro de la aplicación.
Dado que Snapchat cifró el tráfico entre la aplicación y sus servidores, esta técnica de análisis de red no iba a ser efectiva. Esta es la razón por la que los ingenieros de Facebook propusieron usar Onavo, que cuando se activaba tenía la ventaja de leer todo el tráfico de red del dispositivo antes de que se cifrara y se enviara a través de Internet.
«Ahora tenemos la capacidad de medir la actividad detallada dentro de la aplicación» a partir de «analizar los análisis de snapchat [sic] recopilados de los participantes incentivados en el programa de investigación de Onavo», se lee otro correo electrónico.
Más tarde, según los documentos judiciales, Facebook amplió el programa a Amazon y YouTube.
Dentro de Facebook, no hubo consenso sobre si el Proyecto Cazafantasmas era una buena idea. Algunos empleados, incluido Jay Parikh, entonces jefe de ingeniería de infraestructura de Facebook, y Pedro Canahuati, el entonces jefe de ingeniería de seguridad, expresaron su preocupación.
«No se me ocurre un buen argumento de por qué esto está bien. Ninguna persona de seguridad se siente cómoda con esto, sin importar el consentimiento que obtengamos del público en general. El público en general simplemente no sabe cómo funcionan estas cosas», escribió Canahuati en un correo electrónico, incluido en los documentos judiciales.
En 2020, Sarah Grabert y Maximilian Klein presentaron una demanda colectiva contra Facebook, alegando que la compañía mintió sobre sus actividades de recopilación de datos y explotó los datos que «extrajo engañosamente» de los usuarios para identificar a los competidores y luego luchar injustamente contra estas nuevas empresas.
Un portavoz de Amazon se negó a hacer comentarios.
Google, Meta y Snap no respondieron a las solicitudes de comentarios.
Fuente: https://techcrunch.com/2024/03/26/facebook-secret-project-snooped-snapchat-user-traffic/
QAnons España 