Los tentáculos de Facebook cada vez son más largos… y sutiles

facebook apps

En Junio del 2014, un informe (EN) realizado por la Comisión de Privacidad Belga demostraba lo que llevábamos tiempo suponiendo: Los tentáculos de Facebook llegaban bastante más lejos de lo que a priori parecía.

Tanto como para que cualquier web que tuviera un botón de compartir en Facebook sirviera a la red social para identificar a ese usuario. Y lo más importante: Aunque ese usuario no tuviera cuenta en Facebook.

Desde entonces, y hasta ahora, juicios y recursos aplazados que han acabado por detonar hace unas horas (EN), cuando el juez decretaba la obligatoriedad de que la red social pidiera de antemano permiso para tracear a sus no-usuarios.

Porque aquí está el quid de la cuestión. Mientras que en algunos países (como en España), los administradores de páginas estamos obligados a alertar al visitante de qué cookies almacenamos de su navegación (cosa que puede consultar en la Política de Privacidad (ES) de esta página), las cookies que Facebook implementa en sus botoneras estaban hasta ahora exentas de esta tentativa.

Las de Facebook, y en líneas de generales, las de cualquier tercera parte. Un grave problema que comentaba en el día de ayer con los miembros de la Comunidad.

El 90% de las webs exponen datos a terceros

Son datos revelados por un estudio publicado recientemente (EN), en el que Tim Libert ponía a prueba el millón de páginas más visitadas de la actualidad con webXray (EN), un software que analiza todas las peticiones HTTP realizadas por los componentes que conforman una web.

Para un servicio de este tipo (sea Facebook, sea Google, sea quien sea), es tan sencillo como obligar al administrador a hacer llamadas a las APIs o el recurso oportuno (un contador de Likes, una imagen del botón,…) en cada petición de usuario que haya. El usuario, al cargar la página, realiza una conexión HTTP con este otro servidor, y con ella desvela datos como su IP, la fecha y hora, el modelo de ordenador y el navegador (con sus posibles extensiones). Información que como en su día vimos, pueden servir para identificar a un usuario mediante técnicas de canvas fingerprinting.

Y esta web seguramente sea una de ellas, por mucho que me haya tomado en su día en serio este asunto.

La razón radica, como les comentaba a los miembros en el email, en que la arquitectura de las webs actuales está tan distribuida (recursos que para cargar deben llamar a otros recursos almacenados en un servidor, que a su vez pueden estar en otro servidor,…), que resulta literalmente imposible evitar alguna fuga de información. 

Esta página está desarrollada con WordPress, y NO tiene publicidad (ergo el único tracking que tengo habilitado es el de Analytics). Además, los botones sociales los genero estáticamente en la página, y únicamente cargan el script de cada red social cuando el usuario clicka en ellos.

Aún así, WordPress es un CMS, y muchos de los plugins que utilizo requieren hacer llamadas externas para cargar los recursos necesarios. Incluso archivos necesarios para el buen funcionamiento de tecnologías como jQuery o librerías de JavaScript no es raro que estén alojadas en servidores de terceros, para que así se actualicen de forma inmediata cuando surge una nueva vulnerabilidad (o haya nuevas implementaciones).

Al final, para cargar cualquier página, y por mucho que nos hayamos empeñado en tener todo lo posible en local, siempre hay llamadas a servidores de terceros, y cualquiera de esas llamadas podría servir para identificar al usuario, para recopilar información suya, y como en el caso de Facebook, generarle una suerte de profiling pese a que expresamente este (y el administrador del sitio) no haya consentido su uso.

Esas cookies que nos persiguen hagamos lo que hagamos, pese a que en la web origen no estén traficando con nuestros datos. Y que empiezan a animarnos a apostar por estrategias de desinformación como única medida para protegernos de sus devastadores efectos.

Ahora los tentáculos llegan a la memoria de nuestros smartphones

La historia no queda ahí. Parece que después del ambient location, del ambient listenning and seeing, la nueva tendencia es el análisis sistemático de los datos almacenados en la memoria de nuestros terminales.

Messenger está por ahora probando Photo Magic (EN), un servicio que les permite identificar personas en fotos almacenadas en el terminal de sus usuarios, para sugerirle a este que las comparta con sus conocidos.

Es decir: hablamos de aplicar reconocimiento facial (ese mismo que en su día se vio obligado a desactivar en Europa) a fotos que están en nuestro dispositivo, y que en ningún momento hemos subido a Facebook. De que los tentáculos de Facebook lleguen a esa información que el usuario, por la razón que sea, no ha visto oportuno compartir en su perfil.

Entre las razones esgrimidas, las de siempre: Facebook está perdiendo engagement con sus usuarios, que apuestan por redes más inmediatas (y sensibles a la privacidad) como Snapchat.

De hecho, en una conversación de hace un rato con mi pareja (y que salió precisamente al verme ella escribir este artículo) me comentaba sorprendida cómo Facebook empezaba a perder fuelle en sus círculos de amigas.

Lo que no se da cuenta es que pese a que ya no compartamos tanto en Facebook, si lo hacemos en WhatsApp. Y en EEUU, sí lo hacen en Messenger. Es más, ayer mismo tuve una llamada con un conocido por este servicio.

Y todas sus amigas seguramente usen a diario Instagram.

A día de hoy, el top de descargas de aplicaciones está dominado de una u otra manera por Facebook (ES), que únicamente se ha quedado atrás en la mensajería efímera con la negativa de compra por parte de Snapchat.

Los tentáculos de Facebook llegan cada vez más y más lejos. Dominan el apartado social digital, pero también las dos grandes aplicaciones de mensajería instantánea, e incluso la red social de fotografías por antonomasia y el vídeo (por delante de Youtube (ES), ojo), sea por Instagram, sea por su propia red.

Son capaces de tracear al usuario dentro y fuera de su plataforma, sea o no ya usuario suyo. Y también de identificar usuarios en fotografías mediante el reconocimiento facial, estén o no dentro de su plataforma.

Todo de forma muy sutil. Tanto que el usuario de a pie, como es mi pareja, piensa que han perdido la batalla.

Nada más lejos de la realidad.