‘Proyecto Cazafantasmas’ o cómo Facebook habría espiado a los usuarios de Snapchat
Documentos publicados a partir de una demanda contra Meta ilustran cómo la compañía habría utilizado un esquema de ciberespionaje para rastrear a los usuarios de su rival
Un email de Mark Zuckerberg que presiona para analizar el tráfico cifrado de Snapchat, correos de altos directivos de Facebook y los reparos del responsable de seguridad. Todo esto aparece en los documentos que desgranan cómo la compañía habría utilizado técnicas de ciberespionaje para rastrear el comportamiento de los usuarios en su aplicación rival.
Los emails se hicieron públicos a raíz de la demanda interpuesta por un grupo de anunciantes contra Meta. Acusan a la compañía de tratar de monopolizar el mercado de la publicidad en las redes sociales entre 2016 y 2019. El intercambio de correos empieza en junio de 2016. Por aquel entonces Snapchat tenía empuje. Brevemente, se convirtió en la aplicación de moda. En los seis primeros meses de ese año pasó de tener alrededor de 110 millones de usuarios a 148 millones. Mientras tanto, Facebook perdía comba con las nuevas generaciones e Instagram corría peligro de quedarse anclada como app de fotografía. Hasta que en agosto lanzó sus Instagram Stories, un calco de las Stories de Snapchat. Su buena acogida entre los usuarios cambió las tornas.
Esto es solo el contexto del mercado. Lo que revelan los documentos es la creación de un proyecto, denominado IAAP y apodado Ghostbusters (”cazafantasmas”) en clara referencia al logo de Snapchat. El objetivo era analizar el tráfico de esta aplicación gracias a un kit integrado en la propia app de Facebook, que los usuarios se instalaban en sus dispositivos, y que servía para recopilar información de su actividad digital en otras aplicaciones.
“Este kit le daba a Facebook la capacidad de que todo el tráfico que salía de esos teléfonos terminase en un servidor controlado por Facebook”, aclara Juan Tapiador, catedrático del Departamento de Informática de la Universidad Carlos III y especialista en ciberseguridad. “En teoría, lo que hacían era ver si el tráfico era de Snapchat y, si era así, examinaban una serie de analíticas sobre cómo los usuarios controlaban la aplicación”.
Los documentos presentan un esquema de monitorización complejo y que utiliza técnicas de ciberespionaje. El proyecto se basaba en la tecnología de Onavo, una aplicación de VPN (red virtual privada) adquirida por Facebook en 2013. Deepak Daswani, consultor en ciberseguridad y hacking, señala que el tráfico de los usuarios habría pasado por servidores que hacían de intermediarios. “A nivel conceptual, esto se trataría de un ataque de ‘hombre en el medio’ (man-in-the-middle), porque el servicio VPN se coloca en medio del tráfico entre el usuario y Snapchat. Y puede descifrar cierta cantidad de información”, cuenta.
Misión: interceptar y descifrar el tráfico de los usuarios
Los documentos reconstruyen cómo Facebook habría articulado su proyecto Cazafantasmas para interceptar el tráfico de los usuarios de ciertos sitios web. No solo de Snapchat, también se habría analizado el comportamiento de usuarios de YouTube y de Amazon. La compañía habría ofrecido incentivos a algunos usuarios para que se instalaran una aplicación modificada de Facebook. Aquellos daban su consentimiento para que la app recogiera sus datos.
La iniciativa parte de un email enviado por Mark Zuckerberg, CEO de Facebook, el 9 de junio de 2016. En él aludía a la falta de datos analíticos sobre Snapchat debido a que su tráfico estaba cifrado. “Dado lo rápido que están creciendo, parece importante pensar en una nueva forma de obtener información analítica sobre ellos. A lo mejor necesitamos hacer paneles de usuarios o programar un software específico. Debéis pensar cómo hacerlo”, escribía Zuckerberg en un correo a tres altos directivos.
En un intercambio de emails se comenta la dificultad que entraña conseguir la tecnología necesaria para observar el tráfico cifrado de Snapchat. Y se especula con que posiblemente requeriría “aprobación legal”. Sin embargo, el equipo de la VPN Onavo, dentro de Facebook, se puso a trabajar en ello y lograron una solución que la compañía desplegó durante tres años, según los documentos publicados.
Hubo reparos en las más altas instancias. La documentación cita a Pedro Canahuati, que por entonces era vicepresidente de Ingeniería, Seguridad y Privacidad: “No puedo pensar en ningún argumento válido para justificar que esto está bien. Nadie que trabaje en ciberseguridad se sentirá cómodo con esto nunca, sin importar el consentimiento que obtengamos del público general. El público general sencillamente no sabe cómo funciona esto”.
No es un esquema intuitivo, desde luego. Al conectarse a una página web, esta tiene que estar firmada por una Autoridad de Certificación en la que confía nuestro navegador o la aplicación que usamos. Es la única forma que tiene un dispositivo de saber que se está conectando al sitio auténtico y que no hay una suplantación. Sin embargo, el kit que incorporaba la aplicación modificada de Facebook distorsionaba este proceso.
Tapidador arroja algo de luz sobre cómo funcionaba el proceso. “Si tú te conectas a una página web y esa página web está firmada por una “autoridad de certificación”, tú automáticamente confías en ella. Y sabes que te estás conectando a snapchat.com o a elpais.com. Cuando tú te instalabas la aplicación de Facebook, lo que hacían era instalar internamente una autoridad de certificación propia de Facebook”.
De esta forma, la autoridad de certificación de Facebook indicaba al dispositivo que confiara en que el usuario se estaba conectando a Snapchat. Sin embargo, lo que ocurría es que el tráfico del usuario iba a los servidores de Facebook primero, para analizarlo.
Daswani destaca la importancia de la tecnología VPN para lograr este rastreo de información: “Facebook, si es proveedor de VPN puede ver todo mi tráfico que va a través de la VPN, mi tráfico que va hacia Twitter, hacia Facebook, hacia WhatsApp y hacia otro proveedor. Con esta aplicación de Onavo lo que hacían es tener acceso al tráfico de red y lo analizaban”.
Todo este tráfico estaba cifrado. Es decir, un tercero ajeno a la ecuación no podría haberlo leído sin más. Pero Facebook ya no era un tercero, en realidad. En el cifrado del tráfico, las claves que protegen la información se generan mediante una colaboración entre los dos extremos entre los que viajan los datos: la aplicación y el servidor de destino. Y aquí el servidor de destino era el de Facebook, que formaba parte del proceso de generación de claves y, con ellas, podía descifrar el tráfico.
Tapiador explica que en el tráfico no salía del usuario hacia Snapchat. “Lo que pasa es que ellos luego hacen lo que se llama un proxy transparente. Cogen el tráfico, lo abren, lo miran y, desde ese servidor, se conectan a Snapchat pretendiendo que eres tú”, explica. De esta forma, los usuarios pueden ver el resultado de su actividad: si tocan en una imagen se abre, si hacen scroll la pantalla se mueve. “Pero en medio hay alguien que ha abierto el sobre, ha leído lo que hay dentro, lo ha vuelto a meter en otro sobre y lo ha mandado a su destino”.
En una carta enviada al juez que instruye el caso, Meta —Facebook, como compañía, cambió de nombre en 2021— rebate que el software del que hablan los documentos esté vinculado con un posible monopolio. No hay olvidar que ese es el objeto de la demanda interpuesta. También incide en que los usuarios de la aplicación modificada de Facebook (“Facebook Research App”) consintieron en dar sus datos de navegación a la compañía. “No hay nada nuevo aquí. Se informó de este asunto hace años. Las alegaciones de los demandantes carecen de fundamento y son completamente irrelevantes para el caso”, ha señalado un portavoz de Meta en declaraciones a este periódico.
Según los documentos del caso, en el proyecto Cazafantasmas trabajó un equipo de directivos senior y alrededor de 41 abogados.
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.
