¿Qué puede ver exactamente un desconocido de nuestro perfil de Facebook?

Informacion perfil facebook

Estos días he estado leyendo mucha literatura sobre Stalkscan.com (EN), un servicio que ofrece toda la información a la que un tercero puede acceder de una cuenta de Facebook. Y para variar, algunos medios se han dejado llevar por el sensacionalismo.

Realmente Stalkscan lo único que hace es enlazar a peticiones de la API de Facebook ordenadas bajo una interfaz más humana.

Así, podemos decidir el intervalo de tiempo a buscar, la tipología de la búsqueda (personas, páginas, amigos, familia, locales…), el género, la edad y el estado (casado/a, soltero/a…), y a partir de estas queries, ENLAZA a cerca de cuarenta elementos que conforman prácticamente todo lo que un stalker, o un investigador digital, podría interesarle de un perfil específico.

La estrategia seguida es exactamente la misma que en su día expliqué en el tutorial ¿Qué datos se pueden obtener de una persona en Internet?, solo que centrado en Facebook. En dicho tutorial lo único que un servidor hacía era, partiendo del nombre completo de una persona, intentar obtener toda la información posible mediante técnicas de fingerprinting, esto es, revisando toda la información que esta persona tiene expuesta de manera pública en Internet.

Y, por supuesto, acabé utilizando Facebook para conocer el nombre de sus padres y familiares, el lugar donde vivía y un largo etcétera.

Pero lo importante, y con lo que quería que se quedase, es que toda esa información fue accesible por un tercero (como era mi caso) con el que no existe ningún tipo de relación simplemente porque el usuario, consciente o incoscientemente, había permitido que estuviera disponible de forma pública.

Cosa de la que se aprovecha Stalkscan. Ni más ni menos.

informacion privada fb

Pero Pablo, he probado el servicio y éste ve absolutamente todo de mi

Aquí viene la confusión.

La mayoría de compañeros que estos días me han escrito alarmados porque Stalkscan está mostrando muchísima información confidencial de ellos están utilizando el servicio de manera incorrecta.

Como decía, la herramienta lo único que hace es emitir las peticiones a la API de Facebook, y esta, YA EN LOS DOMINIOS DE FACEBOOK, muestra la información pedida:

  • Si hacemos esto desde nuestro perfil del navegación habitual, donde además tenemos incluidas por defecto las credenciales de usuario de nuestra cuenta, por supuesto nos va a mostrar hasta la cocina de nuestro perfil. ¡Estamos pidiendo a la API de Facebook con nuestras credenciales que nos muestre información nuestra!
  • Si hacemos lo propio con perfiles de amigos, nos mostrará todo lo que estos amigos tienen expuesto de manera pública y también todo aquello que éstos muestran a sus conocidos, por la sencilla razón de que nosotros somos uno de ellos.
  • Si de verdad queremos saber qué puede conocer un tercero de nuestra cuenta con stalkscan, tendríamos que crearnos una cuenta de Facebook, loguearnos, y luego abrir el servicio con esas credenciales para realizar una búsqueda por nuestro perfil. Y entonces sí veríamos exactamente lo que podría ver una persona que no está en nuestros círculos de amistades (ni en los círculos de amistades de alguna de nuestras amistades, que esa es otra…).
  • Por supuesto, si intentamos hacer esto sin loguearnos con una cuenta, nos mostrará siempre errores de búsqueda, ya que Facebook, a diferencia de redes como Twitter o Google+, es una red social cerrada (hace falta estar logueado para ver información).

informacion privada facebookY aquí viene lo bueno. Casi todo lo que muestra stalkscan ya podríamos consultarlo de una manera mucho más cómoda (sin tener que crear una cuenta nueva y todo ese jaleo) desde los Ajustes de privacidad de Facebook > ¿Quién puede ver mis actualizaciones? > ¿Qué pueden ver otras personas de mi timeline?

En este apartado tenemos la opción de navegar como nosotros mismos (obvio), como un amigo (ergo podemos ver qué ven nuestros amigos de nosotros) y de manera pública (por un usuario que no está en nuestros círculos de amistad), que por tanto nos permite observar qué información tenemos expuesta de manera pública a terceros.

Justo el tipo de información que nos debería interesar tener controlada.

No obstante, decía antes que de esta manera veíamos casi todo, y es que sí es verdad que hay información que de forma sencilla no es localizable por la interfaz de Facebook.

Hablo en este caso de posibles interacciones (Me Gusta, Comentarios,…) que hayamos dado a actualizaciones públicas (como, por ejemplo, una página, o la actualización de un amigo) que desde el perfil no son visibles (no dejan rastro en nuestro timeline), pero que sí se pueden mostrar mediante peticiones a la API, o mediante búsquedas en el Graph Search de Facebook.

Y es información que podría ser verdaderamente interesante de cara a un eventual ataque dirigido, fraude o extorsión. Simplemente el saber que una persona suele dar Me Gusta a las actualizaciones de grupos y/o páginas afines a una ideología política, social o religiosa, puede servir de gancho para atacarla. O incluso de cara a suplantarle la identidad en un futuro.

Ahí es quizás el punto diferencial de una herramienta como esta, ya que quizás sirva a algunos para darse cuenta que controlar absolutamente toda la información que exponemos por la actividad de un perfil de Facebook se antoja verdaderamente difícil.

Toda fotografía que hayamos usado como portada de fondo o como foto de perfil queda expuesta de manera pública automáticamente, con todos los comentarios e interacciones que hubiera en ella. Lo que significa que esto también nos afectará cuando un conocido haga lo propio con una fotografía suya, exponiendo así cualquier actividad que hayamos hecho en ese hilo.

informacion privada facebook 2

Dentro de los Ajustes Avanzados de Privacidad tenemos la opción de limitar el alcance del contenido publicado por nosotros a que sea solo visible para Amigos. Esto, además de cambiar automáticamente todo contenido antiguo expuesto de forma pública a visible únicamente para Amigos (hace unos años todo lo que se publicaba se hacía automáticamente en público), nos cambia de paso cualquier fotografía que hayamos usado en algún momento como foto destacada del perfil, e incluso “hace desaparecer” de las búsquedas actualizaciones que hayamos hecho en páginas y grupos abiertos.

Pero recalco que esto compete únicamente a aquellas actualizaciones nuestras que afectan a nuestro perfil, no a aquellas que afectan al perfil de terceros (amigos y amigos de amigos) donde quizás hayamos realizado con anterioridad alguna interacción.

Los permisos para acceder a ese contenido no son controlables por nosotros, sino por el propietario de esa actualización (la página, el perfil que lo publicó…). Y ahí, al menos por ahora, sí estamos vendidos.

Como corolario final

Facebook sigue siendo una red social privada, y hasta el día de hoy nadie ha encontrado la manera de bypasear la API de Facebook para mostrar información privada del usuario. Stalkscan solo aprovechan la flexibilidad de la API para ofrecer información que ya existe y es accesible aunque de una manera mucho más inmediata.

Otra cosa muy distinta es que, por la complejidad de las relaciones y permisos que se producen en el universo de Facebook, y por la dicotomía de accesibilidad/ciclo de vida de dicha información, haya información que aún siendo nuestra dependa de terceros a la hora de definir su visibilidad. Acceder a ella para eliminarla y/o bloquearla resulta muy difícil para el usuario (no tenemos una manera sencilla de navegar por esas interacciones sin tener que comernos todas las demás), y ocurre justo lo contrario para un tercero, que al tener menos acceso a información privada nuestra, puede llegar más fácilmente a ese contenido externo que nos compete y cuyo control no depende de nosotros.