Facebook ha sido objeto de escrutinio por su presunta participación en el robo de datos de VPN.
El analista tecnológico HaxRob, a través de su análisis en profundidad, sacó a la luz el problema, mientras que la periodista tecnológica Naomi Brockwell comentó más al respecto, revelando una compleja red de interceptación y manipulación de datos de usuarios.
Facebook alega robo de datos a través de VPN
La investigación de HaxRob reveló que Facebook, aprovechando su adquisición de Onavo, incurrió en prácticas que potencialmente podrían interceptar y analizar datos de usuarios transmitidos a través de otras aplicaciones. Al integrar certificados raíz en los dispositivos móviles de los usuarios, Facebook supuestamente podría monitorear e interceptar el tráfico de una gran cantidad de aplicaciones.
La controversia se centra en Onavo. Antes de su eliminación de las tiendas de aplicaciones, aparentemente ofrecía servicios VPN con el pretexto de la seguridad del usuario. Sin embargo, las descripciones archivadas y las funcionalidades de las aplicaciones insinúan un propósito más oscuro.
“Este código, que incluía un “kit” del lado del cliente que instalaba un certificado “raíz” en los dispositivos móviles de los usuarios de Snapchat, también incluía un código personalizado del lado del servidor basado en “squid” a través del cual los servidores de Facebook creaban certificados digitales falsos para hacerse pasar por personas confiables. Servidores de análisis de Snapchat, YouTube y Amazon para redirigir y descifrar el tráfico seguro de esas aplicaciones para el análisis estratégico de Facebook”, se lee en un expediente judicial.
Tales acciones no solo violan la confianza del usuario sino que también bordean los límites del uso ético de la tecnología, como señaló HaxRob: «La aplicación logró establecer conectividad con los servidores de Facebook, a pesar de presentarse como una herramienta para la seguridad del usuario».
Los comentarios de Naomi Brockwell consolidan aún más la gravedad de la situación. Describió las acciones de Facebook como un “ataque de intermediario”, que accede al tráfico SSL y a datos confidenciales del usuario sin consentimiento.
“Parece que Facebook realizó un ataque de intermediario utilizando su servicio VPN para robar datos de otras aplicaciones. Esto les permitió ver todo el tráfico SSL, mediante la creación de un certificado digital falso para hacerse pasar por Snapchat, YouTube, Amazon, etc.”, explicó Brockwell.La disección técnica de las operaciones de la aplicación Onavo revela solicitudes de permisos alarmantes, incluidas capacidades de superposición sobre otras aplicaciones, acceso al uso histórico y eliminado de aplicaciones, y la gestión de llamadas telefónicas. Con el pretexto de mejorar la seguridad del usuario, estos permisos generan importantes señales de alerta sobre el alcance de los datos a los que Facebook podría acceder y manipular.
Fundamentalmente, la práctica de instalar certificados para interceptar el tráfico de aplicaciones, aunque obstaculizada por las recientes mejoras de seguridad de Android, muestra hasta dónde podrían llegar las empresas para recopilar datos de los usuarios. La exposición de tales prácticas, incluida la posible recopilación de números IMSI de suscriptores móviles y los extensos datos de telemetría recopilados a partir de los 10 millones de descargas de la aplicación, reflejan el imperativo de una supervisión regulatoria estricta.
Este incidente no es aislado. Se hace eco de multas anteriores, como la multa de 20 millones de dólares impuesta por la ACCC de Australia, lo que pone de relieve la preocupación mundial por las prácticas de manejo de datos de Facebook.