En 2016, Facebook lanzó un proyecto secreto diseñado para interceptar y descifrar el tráfico de red entre las personas que utilizan la aplicación Snapchat y sus servidores. El objetivo era comprender el comportamiento de los usuarios y ayudar a Facebook a competir con Snapchat, según documentos judiciales recientemente revelados. Facebook llamó a esto «Proyecto Cazafantasmas», en una clara referencia al logotipo fantasmal de Snapchat.
El martes, un tribunal federal de California publicó nuevos documentos descubiertos como parte de la demanda colectiva entre los consumidores y Meta, la empresa matriz de Facebook.
Los documentos recientemente publicados revelan cómo Meta intentó obtener una ventaja competitiva sobre sus competidores, incluidos Snapchat y más tarde Amazon y YouTube, analizando el tráfico de la red y cómo sus usuarios interactuaban con los competidores de Meta. Dado el uso de cifrado en estas aplicaciones, Facebook necesitaba desarrollar una tecnología especial para evitarlo.
uno de los documentos detalla el Proyecto Cazafantasmas de Facebook. El proyecto era parte del programa In-App Action Panel (IAPP) de la compañía, que utilizaba una técnica para «interceptar y descifrar» el tráfico de aplicaciones cifradas de los usuarios de Snapchat, y más tarde de los usuarios de YouTube y Amazon, escribieron los abogados de los consumidores en el documento.
El documento incluye correos electrónicos internos de Facebook que analizan el proyecto.
«Cada vez que alguien hace una pregunta sobre Snapchat, la respuesta suele ser que debido a que su tráfico está cifrado no tenemos análisis sobre ellos», escribió el director ejecutivo de Meta, Mark Zuckerberg, en un correo electrónico fechado el 9 de junio de 2016, que se publicó como parte de la demanda. . “Dado lo rápido que están creciendo, parece importante encontrar una nueva forma de obtener análisis confiables sobre ellos. Quizás necesitemos hacer paneles o escribir software personalizado. Deberías descubrir cómo hacer esto”.
La solución de los ingenieros de Facebook fue utilizar Verlasun servicio similar a VPN que Facebook adquirió en 2013. En 2019, Facebook cerró Onavo después de que una investigación de TechCrunch revelara que Facebook había estado pagando en secreto a adolescentes para que usaran Onavo para que la empresa pudiera acceder a toda su actividad web.
Después del correo electrónico de Zuckerberg, el equipo de Onavo asumió el proyecto y un mes después propuso una solución: los llamados kits que pueden instalarse en iOS y Android y que interceptan el tráfico de subdominios específicos, “permitiéndonos leer lo que de otro modo sería tráfico cifrado para que «Podemos medir el uso dentro de la aplicación», se lee en un correo electrónico de julio de 2016. «Este es un enfoque de ‘intermediario'».
Contáctenos
¿Sabes más sobre el Proyecto Cazafantasmas? ¿U otros problemas de privacidad en Facebook? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o correo electrónico. También puede ponerse en contacto con TechCrunch a través de caída segura.
Un ataque de intermediario (hoy en día también llamado adversario en el medio) es un ataque en el que los piratas informáticos interceptan el tráfico de Internet que fluye de un dispositivo a otro a través de una red. Cuando el tráfico de la red no está cifrado, este tipo de ataque permite a los piratas informáticos leer los datos que contiene, como nombres de usuario, contraseñas y otras actividades dentro de la aplicación.
Dado que Snapchat cifraba el tráfico entre la aplicación y sus servidores, esta técnica de análisis de red no iba a ser efectiva. Es por eso que los ingenieros de Facebook propusieron usar Onavo, que cuando se activaba tenía la ventaja de leer todo el tráfico de red del dispositivo antes de cifrarlo y enviarlo a Internet.
«Ahora tenemos la capacidad de medir la actividad detallada en la aplicación» desde «análisis de Snapchat [sic] análisis recopilados de participantes incentivados en el programa de investigación de Onavo”, se lee en otro correo electrónico.
Posteriormente, según los documentos judiciales, Facebook amplió el programa a Amazon y YouTube.
Dentro de Facebook, no hubo consenso sobre si el Proyecto Cazafantasmas era una buena idea. Algunos empleados, incluido Jay Parikh, entonces jefe de ingeniería de infraestructura de Facebook, y Pedro Canahuati, entonces jefe de ingeniería de seguridad, expresaron su preocupación.
“No se me ocurre ningún buen argumento que explique por qué esto está bien. Ninguna persona de seguridad se siente cómoda con esto, sin importar el consentimiento que obtengamos del público en general. El público en general simplemente no sabe cómo funciona esto”, escribió Canahuati en un correo electrónico, incluido en los documentos judiciales.
En 2020, Sarah Grabert y Maximilian Klein presentó una demanda colectiva contra Facebookalegando que la empresa mintió sobre sus actividades de recopilación de datos y explotó los datos que “extrajo engañosamente” de los usuarios para identificar a los competidores y luego luchar injustamente contra estas nuevas empresas.
Un portavoz de Amazon se negó a hacer comentarios.
Google, Meta y Snap no respondieron a las solicitudes de comentarios.