Facebook, llegan sus respuestas al Senado

Del mismo modo que el Dieselgate parece muy lejos de acabar con nuevas noticias que siguen hundiendo la reputación de la industria -el último caso ha sido el de Daimler-, el escándalo de Cambridge Analytica trae cada poco a las portadas de los medios los usos y costumbres de las empresas de Silicon Valley cuando se trata de gestionar nuestros datos personales. Y nos referimos casi en general a la industria tecnológica porque incluso Apple ha tenido que cambiar su política de privacidad que dejaba en jaque los datos de sus clientes.

La última de esas noticias tiene que ver con el documento de 228 páginas que Facebook ha remitido al Senado de Estados Unidos en el que contesta a todas las preguntas que le ha realizado la cámara alta sobre el caso de venta de datos.

En el memorando la red social explica cómo recopila información de los usuarios: en varios puntos se detalla la forma en la que recoge datos del dispositivo del usuario y de cómo lo utiliza. En el ordenador, por ejemplo, uno de los puntos más llamativos es el mouse tracking que consiste en rastrear los movimientos que hace el usuario con el ratón y que habitualmente se emplea para saber cómo se adaptan los usuarios al interfaz de una plataforma de software.

Facebook también controla el orden y la forma en la que trabajamos con las ventanas para «ayudar a distinguir humanos de robots» ya que la empresa busca cruzar los datos de todas las plataformas en las que está disponible (smartphones, tabletas, portátiles, equipos de sobremesa o televisores inteligentes) para desarrollar una experiencia de uso más «completa y personalizada» para todo aquel que use Facebook sin importar el soporte.

El problema es que en el pasado ya se acusó a los de Mark Zuckerberg de usar el mouse tracking para saber en qué anuncios hace click un usuario sino también para saber en qué puntos de la pantalla se detiene y en cuánto tiempo para saber cómo gestionar la publicidad y los contenidos que vende.

El informe también refleja que la red social compila información sobre atributos del dispositivo con el que se trabaja: el sistema operativo, las versiones de hardware y software, el nivel de batería y la gestión del almacenamiento, así como el navegador empleado o los tipos de aplicaciones instaladas.

Por si fuera poco, la empresa puede acceder a nuestra señal de bluetooth y también a las conexiones WiFi empleadas, el operador móvil, el proveedor de internet, el número de teléfono, la IP del dispositivo, la velocidad de conexión e incluso información de dispositivos cercanos conectados con el nuestro.

Preguntada por la gestión de imágenes, Facebook reconoce que sí accede a la cámara y biblioteca multimedia aunque nunca al micrófono para no influir en los anuncios o el feed de noticias del muro. Un detalle.

La pregunta que nos hacemos nosotros es si aún queda algún usuario de la red social que no sepa que él es la mercancía con la que Facebook saca dinero.

Facebook, ¿por qué nos sorprendemos?

Antes de empezar a intentar comprender todo lo que ha ocurrido con el escándalo de Facebook y Cambridge Analytica queremos subrayar que creo en las bondades de las redes sociales y en su enorme potencial y he sido usuario. También es cierto que creo que la sociedad aún no ha aprendido a gestionarlas y que su desarrollo como una gran empresa -todas- no ayuda a ello.

Hace casi dos años hablamos de algo que muy pocos usuarios tienen en cuenta cuando usan Facebook (o Twitter, Snapchat, Instagram o la red social que se quiera poner en el enunciado): cuando no nos cobran por un bien o servicio, la mercancía somos nosotros. Y lo somos más cuando compartimos más de nosotros, de nuestra esfera privada o social, de nuestros gustos, costumbres o pensamientos, con ellos.

Por eso lo más sorprendente es que nadie se extrañe de que Facebook haya hecho negocio comercializándonos. La noticia saltó como un jarro de agua fría. Cambridge Analytica, una consultora que trabajó, entre otros, para Donald Trump y que ahora también se la vincula al Brexit y a movimientos de ultra derecha, violó la intimidad de 50 millones de usuarios de la red de Mark Zuckerberg. Si todos fueran un país, serían el 27 del mundo y el quinto de Europa.

Ahora las instituciones se rasgan las vestiduras y tanto Washington como Bruselas o Londres exigen que el CEO y fundador de la red social rinda cuentas. La noticia que ha salido a la luz después de dos años de la manipulación gracias al trabajo de The New York Times y The Observer, pone a la luz los trapos sucios de multitud de políticos pero, también, pone a la luz la forma en la que las redes sociales nos convierten en ganado y nos manipulan para dar más poder al poder.

Cambridge Analytica se creó exclusivamente para tomar parte en política. La fundó Robert Mercer, padrino de Steve Bannon -uno de los alfiles de Trump durante su campaña- y que utiliza datos online para crear perfiles de votantes. Lo más interesante es que estos perfiles no se realizan bajo parámetros como la edad, el sexo o la raza. Van más allá. Lo hacen a partir de emociones.

El problema es el daño que todo esto (la posibilidad de unir likes con pequeños test de personalidad muy básicos que nos dicen cuán influenciable es alguien) ha hecho sobre, por ejemplo, el Big Data -tan importante en campos como la investigación científica-.

La empresa alardeaba de tener información de 230 millones de estadounidenses cuando la contrató Jared Kushner, yerno de Trump, si bien ese dato era falso. Así que no quedó más remedio que acceder a la mayor fuente de información posible. Y como, eso parece por ahora, Google y Amazon están blindados, la mejor baza era Facebook. Un lugar donde el anonimato (siempre me he preguntado cuántas cuentas falsas hay en la red social y en cuantas de ellas mentimos sobre nosotros. Quizá la pregunta más fácil es, cuántas son 100% auténticas) permitió a la empresa realizar, con permiso de Facebook según los medios estadounidenses, estudios sobre 270.000 personas que sí dieron el consentimiento. Pero como una red social es precisamente una red, pudieron acceder a contactos y contactos de los contactos hasta sumar información de 50 millones de usuarios que no dieron conocimiento ni sabían que sus datos estaban siendo usurpados.

Con esa herramienta solo había que lanzar la campaña adecuada. Buscar qué decir en los anuncios y lanzarlos al por mayor. De media 50.000 diarios. Los picos, de 100.000. Si tenemos en cuenta que la diferencia conjunta en tres estados clave fue de 77.000 votos parece que Cambridge Analytica tuvo mucho que decir en la victoria del presidente por mucho que lo nieguen los miembros del gabinete y de la propia empresa.

Lo más tenebroso es que la empresa que hizo eso también se puso en contacto con el general Flynn, investigado por la trama rusa, y el libertador de Occidente Julian Assange quien no tuvo problema en diseminar esta información por el Kremlin del mismo modo que hizo con los correos de Hillary Clinton. El caldo de cultivo estaba preparado. Oficialmente Assange renunció a la oferta. La investigación, por ahora, dice lo contrario.

Facebook ya tuvo que reconocer el año pasado que hasta 126 millones de usuarios se vieron expuestos a publicidad del Kremlin sin su consentimiento. Ahora son otros 50 millones de cuentas usurpadas. Eso es una cifra superior al 7% de sus cuentas. Las acciones siguen bajando (se han dejado 70.000 millones de dólares desde que comenzó el escándalo) y las buenas intenciones de Zuckerberg a principios de año están desaparecidas.

Una parte de la población llama al boicot. Los fiscales llaman al estrado y algunos usuarios borran sus cuentas pero, del mismo modo que ocurre con la crisis económica -que parece perpetua en algunas latitudes- el problema no es una crisis de un actor de Silicon Valley. Es un problema de modelo del que muy pocas empresas se salvan.

El modelo del todo gratis que propone la nueva economía nos convierte a nosotros, las personas, en mercancía. Algo que queda refrendado en las prácticas de algunas empresas como Google –Facebook almacena los detalles de llamadas y mensajes de los teléfonos Android en los que está instalada su aplicación– que para ofrecernos servicios más personalizados juega con nuestra privacidad (y la vende).

El modelo ha de ser revisado ahora que todavía es joven para saber cuándo censurar, cuándo investigar y cuándo proteger por encima de los intereses mercantiles de empresas que parecen no querer saber nada del mundo real (excepto de su dinero): minimizan los impuestos que pagan, juegan como si fueran monopolios, van de multa en multa por no jugar limpio con los actores tradicionales -que tampoco por ello son ejemplo de ética-, están continuamente en el ojo del huracán por motivos éticos, legales etc.

El problema es que, para cambiar un modelo no vale solo con un cambio legislativo. Es importante para acotar las actividades de estos gigantes pero no es suficiente. El problema radica en la educación: en que los ciudadanos, los usuarios, aprendamos sobre cómo utilizar una herramienta que, por muy apetitosa y atractiva que nos parezca a priori es tan peligrosa como un arma (ciberacoso). Mientras esto no se aborde por la sociedad, por los educadores, por todos nosotros, este será solo un capítulo más en una carrera en la que hemos visto que los cambios de privacidad de otras redes como Instagram no han supuesto ni un solo rasguño en su cuenta de beneficios o en su número de usuarios.

De mientras, por cierto, tendremos que recapacitar por lo tremendamente influenciables que somos todos: no solo los excéntricos británicos o los red neck estadounidenses. Tendremos que volver a pensar en la importancia de reflexionar sobre lo que nos rodea. Y eso no tiene que ver con la lectura en papel o en pantalla. No tiene que ver con libros de texto clásicos o wikipedias. Tiene que ver con la forma humana en la que nos relacionamos entre nosotros y con lo que forma parte de nuestras vidas independientemente del canal que utilicemos.

Strong.Codes, el escudo de Snapchat contra Facebook

El negocio de las redes sociales es, probablemente, uno de los más polarizados del mercado. Siendo sarcásticos podemos decir que hay dos tipos de redes: las que pertenecen a Mark Zuckerberg y las que no. La dupla Facebook-Instagram es la más rentable y la que más usuarios tiene. Y gracias a la adquisición de Whatsapp también controla gran parte de la mensajería instantánea.

Parte de esto se debe a la incompetencia de sus rivales -el caso Twitter lo hemos tratado varias veces y los intentos fallidos de Google son incontables- además de su capacidad de anticiparse al mercado. Sin embargo, cuando parecía que tan solo YouTube podía amenazar su «imperio» surgió Snapchat. Algo diferente que impactó poderosamente en los más jóvenes y que obligó a los demás a implementar nuevas características.

El caso más flagrante es, probablemente, el de Instagram que ha ido incluso modificando su interfaz para parecerse a la red del fantasma. Casos que en cualquier otro mercado serían motivo de denuncias por vulneración de patentes pero que por ahora se quedan en simple «inspiración». Por eso es especialmente importante la última adquisición que ha llevado a cabo Snapchat: la start up suiza Strong.Codes.

La empresa es la creadora de un software que oculta código haciendo que sea mucho más difícil a sus competidores copiar las características de una aplicación. Especializados en ingeniería inversa -una forma de diseccionar un producto para saber cómo funciona y luego copiarlo- la llegada de Laurent Balmelli (fundador de Strong.Codes) es un aviso a sus rivales: se han cansado de que les copien descaradamente.

Desde que Facebook fracasara varias veces en sus intentos por comprar Snapchat debido a su crecimiento exponencial en el mercado, han sido constantes las ocasiones en las que las novedades de la red social han sido copiadas descaradamente por los de Mark Zuckerberg tanto para su matriz como para su filial de imágenes y vídeo, Instagram.

Incluso WhatsApp implementó algunas de las novedades que más éxito tenían en la red social. Esto hizo que Evan Spiegel, CEO de Snapchat tirara de ironía cuando le preguntaron por ello en mayo: «si quieres ser una compañía creativa y haces cosas geniales, tienes que estar cómodo y disfrutar con la idea de que otra gente copie tus productos. Porque Yahoo! coloque un buscador en su web no significa que sea Google». Toda una declaración de intenciones.

La duda que nos surge es si esta adquisición no llega demasiado tarde pues las funcionalidades más atractivas ya han sido copiadas y el crecimiento de la empresa se ha moderado a costa de fortalecer a sus rivales con sus buenas ideas.

Ransomware, ¿cómo ha sido el ciberataque que ha aterrorizdo al mundo digital?

Este es el mapa de afectados por el ataque de ransomware del pasado viernes. Una frase amenazante hizo que el caos se «apoderara» de las ventajas de la era digital: «oops, tus archivos acaban de ser cifrados. Si quieres recuperarlos tendrás que pagar.» En el Estado la más afectada era Telefónica. Cientos de ordenadores de empleados quedaban secuestrados.

El Ministerio de Interior hacía público a lo largo del día que al menos 10 grandes compañías españolas se habían visto afectadas por el chantaje digital. Una pequeña parte que afectó a cientos de empresas en 155 países y cientos de miles de ordenadores. Uno de los casos más llamativos: 40 hospitales en Reino Unido.

La herramienta que se empleó para este ataque a gran escala -el primero de este tipo- fue WannaCry, una clase de malware conocido como WanaCrypt0r o WCry. Las primeras alarmas -aquí- llegaron cuando empleados de la teleco alertaron de que para liberar sus ordenadores necesitaban pagar 300 Bitcoins. Se iniciaba el protocolo de emergencia: se apagaban todos los ordenadores y no se encenderían hasta nueva orden.

Vodafone España, Gas Natural, Iberdrola, Everis, Capgemini… el número aumentaba, lo que hizo que muchas empresas -el ataque iba a todos los sectores y todos los tamaños- decidieran optar por apagar ordenadores. El Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y el Instituto Nacional de Ciberseguridad (Incibe) se pusieron manos a la obra para averiguar el calado del ataque. Aunque el número de empresas era reducido, el nombre de las mismas era muy llamativo.

La punta del iceberg de un ataque global que se extendió con una velocidad inusitada. Kaspersky detectó hasta 45.000 ataques con WannaCry. Las cifras del ataque eran devastadoras en países como Rusia, Ucrania, India, Taiwán y Tayikistán. Avast, por su parte, detectó más de 57.000 en 28 idiomas, MalWare Tech, empresa que detectó el primer ransomware, sube la cifra hasta los 91.000 -de los que casi 90.000 ya están offline).

El caso más difícil, como hemos dicho antes, fue el de Reino Unido: 40 hospitales y centros de salud con médicos que no podían acceder a las fichas de sus pacientes. Operaciones que tuvieron que ser retrasadas y servicios de urgencias bloqueados.

En Estados Unidos FedEX anunciaba que tenía que dejar apagados sus ordenadores hasta el lunes -incluido-. Portugal Telecom y Megafon (operadora rusa) admitían ataques que mermaban su funcionamiento. Renault-Nissan tenía que cesar la producción en algunas de sus plantas. Universidades en Italia y China. Bancos en Rusia, ayuntamientos en Suecia.

El Confidencial

El factor diferencial

Hasta ahora el ransomware siempre había sido relativamente fácil de solucionar. Alguien enviaba miles de correos infectados y siempre había alguien que abría el adjunto con el archivo ejecutable que le hacía perder el control de su ordenador. Sin embargo, hasta ahora, nunca un ordenador infectaba a otro.

Ese ha sido en este caso el factor diferencial. Aprovechando una vulnerabilidad de Windows se infectaba el primer ordenador e inmediatamente el virus se ponía a buscar otros equipos con la misma vulnerabilidad para entrar y ampliar la red. Es lo que se conoce como un gusano.

La vulnerabilidad de la plataforma de Microsoft, conocida como EternalBlue, es un fallo en el protocolo de intercambio de archivos dentro de una misma red conocido como Server Message Block o SMB. El fallo, desconocido durante mucho tiempo, salió a la luz cuando WikiLeaks desveló que era el sistema que empleaba la NSA estadounidense para entrar en ordenadores y controlar sus operaciones en misiones de espionaje.

El grupo de hackers «ShadowBrokers» lo desveló con la intención de demostrar las malas artes de la inteligencia estadounidense el pasado 14 de abril lo que hizo que Microsoft tuviera que lanzar un parche para evitar lo que precisamente ha ocurrido. Si se hubieran actualizado los ordenadores -algo que siempre recomendamos desde aquí sea cual sea el sistema operativo que utilicemos- el ataque hubiera sido mucho menor: se hubiera reducido a aquellos que aceptaron la descarga del ejecutable y nunca se hubiera creado una red de equipos infectados.

Descartado que fueran hackers patrocinados por algún gobierno -se barajó el chino- desde el momento que pidieron un rescate económico, se puede decir que las ganancias del ataque han sido más bien escasas: poco más de 26.000 dólares. Si bien, su impacto en la sensación de estar completamente desamparados ante un ataque a gran escala han sido enormes.

La solución

La solución a este ataque vino de la mano de un joven de 22 años del Sur de Inglaterra -nada más se sabe- que investiga para Malware Tech y que sintió que debía intentar desensamblar el código del virus cuando vio que se estaba atacando a hospitales y centros de salud.

Con la ayuda de Darien Huss de Proofpint y encontró el dominio de internet www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com que compró en Namecheap.com por 10,69 dólares. Desde el primer momento detectó más de 5.000 conexiones por segundo. Básicamente cuando el virus se instalaba en un equipo intentaba conectarse con la web. Si lo podía hacer bloqueaba el equipo y si no podía -porque estaba actualizado-, se retiraba.

Esto hizo que Estados Unidos se «salvara» puesto que cuando se puso en marcha el parche estaba iniciando el despliegue en el país. Al parecer, los analistas creen que el ataque se trataba de una prueba y que quien lo desarrolló dejó un botón del pánico por si todo esto se iba de las manos. Es lo que en ciberseguridad se conoce como la «prueba de concepto» de un virus. Si bien, desde otras fuentes dicen que lleva habiendo oleadas de este tipo de ataques desde finales de marzo.

Uber, Apple amenazó con expulsarla de la App Store

Hay empresas que parecen abonadas al escándalo, aunque, sorprendentemente, consiguen parecer inmunes al mismo. Probablemente Uber sea el mejor exponente de este perfil de compañías gracias a las declaraciones y actuaciones de su polémico CEO y fundador, Travis Kalanick, así como por las declaraciones de ex trabajadores, denuncias de la competencia y demandas por prácticas poco éticas.

El último capítulo ha tenido como protagonista un rival con el que pocas start ups se atreverían a meterse: Apple. Según hizo público The New York Times hace unos días, los ingenieros de la empresa de vehículos encontraron una forma de espiar los hábitos de los usuarios de iPhone incluso si estos habían eliminado del dispositivo la aplicación de Uber.

Los de Cupertino se dieron cuenta y Tim Cook se reunió con Kalanick en diciembre de 2015 para advertirle de que o cesaban la práctica o estarían fuera de la App Store lo que les alejaría de 1.000 millones de usuarios potenciales. Kalanick no tuvo más remedio que ceder a la presión pues esa posibilidad hubiera supuesto un golpe probablemente mortal a la empresa.

Al parecer la historia no llegó más lejos… hasta que el medio neoyorquino la ha sacado a la luz para sumarse a la ola de escándalos que se suman a los de acoso por parte de ex trabajadoras, de mal trato del CEO a sus chóferes y, por supuesto, su eterna guerra con los taxis. La principal diferencia es que, por primera vez, el escándalo afecta directamente a sus usuarios.

Los ingenieros de Uber pusieron en marcha una práctica conocida como fingerprinting según la cual se asigna un código digital a cada terminal de modo que se podía rastrear el mismo aunque se eliminara la aplicación o incluso se reseteara a «modo fábrica» el iPhone. Esto es algo que está expresamente prohibido por Apple que no permite que ningún desarrollador lleve a cabo esta actividad en ninguna de sus aplicaciones.

Para que Apple no se diera cuenta, Kalanick pidió que emplearan una técnica llamada Geofencing alrededor de la sede de Cupertino. Esto hacía que los terminales ubicados en ese área -donde están los ingenieros encargados de revisar las apps- no fueran afectados por el fingerprinting y no descubrieran el problema.

Uber se ha apresurado a hacer público un comunicado en el que dice no haber hecho nada ilegal y que ha implementado el fingerprinting con el fin de prevenir un uso fraudulento de su aplicación: evitar que se pudiera instalar en terminales robados o que se pueda realizar un viaje muy caro con una tarjeta robada para, posteriormente borrar todos los datos del teléfono y no dejar rastro de la actividad delictiva.

Lo más llamativo es que en el comunicado no explican si han dejado de llevar esto a cabo a pesar de la prohibición explícita de Apple. Ellos consideran que solo potencian la seguridad de los clientes y evitan que se puedan realizar robos o transacciones ilegales.

Con el último escándalo sobre la evasión de impuestos todavía caliente, este parece una piedra más en el camino de una empresa que está abriendo demasiados frentes de batalla como para permanecer inmune a todos ellos.