Un exdirectivo de Facebook confirma que la apropiación de datos de los usuarios era algo cotidiano
Es probable que la información privada de cientos de millones de usuarios de Facebook haya sido recogida por empresas que se aprovecharon igual que la empresa que le pasó los datos a Cambridge Analytica, según un nuevo informante.
Sandy Parakilas, director de operaciones de plataforma en Facebook en 2011 y 2012, era responsable de supervisar que ningún software de un tercero se apropiara de datos internos. Parakilas dijo a the Guardian que él le advirtió a los ejecutivos de alto rango de la empresa que los datos estaban muy poco protegidos y que se exponían a una filtración enorme.
“Me preocupaba que todos los datos que abandonaban los servidores de Facebook para ir a los desarrolladores no se podían vigilar, así que no teníamos idea de lo que estaban haciendo los desarrolladores con esos datos”, afirma.
Parakilas señaló que Facebook tenía términos de uso y configuraciones que “la gente no lee o no entiende” y que la empresa no usaba mecanismos de refuerzo, como auditorías a los desarrolladores externos, para asegurarse de que los datos no estaban siendo utilizados de forma inapropiada.
Su trabajo era investigar filtraciones de datos similares a la que luego se sospechó que Global Science Research realizó y que se apropió de decenas de millones de perfiles de Facebook cuyos datos entregó a Cambridge Analytica. Parakilas afirmó que las recientes revelaciones le hicieron sentirse decepcionado de que sus superiores no hubieran prestado atención a sus advertencias.
“Ha sido doloroso el ver lo que sucedía”, dijo. “Porque sé que lo podrían haber evitado”.
Ante la pregunta de qué tipo de control tenía Facebook sobre los datos que le entregaban a los desarrolladores externos, Parakilas respondió: “Ninguno. Ninguno en absoluto. Una vez que los datos abandonaban los servidores de Facebook, ya no teníamos ningún control y no sabíamos qué podía estar sucediendo”.
Parakilas dijo que “siempre pensé que debía existir algún tipo de mercado negro” de los datos de Facebook que habían llegado a los desarrolladores externos. Sin embargo, afirma que cuando dijo a otros ejecutivos que la empresa debería “supervisar directamente a los desarrolladores para ver qué están haciendo con los datos”, lo disuadieron de seguir con esa iniciativa.
Parakilas remarca que un ejecutivo de Facebook le aconsejó que no investigara mucho qué se estaba haciendo con los datos, y le advirtió: “¿Realmente quieres saber lo que puedes encontrar?”. Parakilas dijo que interpretó el comentario como que “Facebook estaba en una posición legal mucho más poderosa si no sabía que se estaban cometiendo abusos con los datos”. Y añadió: “Ellos sentían que era mejor no saber. A mí eso me pareció totalmente espantoso y escandaloso”.
Parakilas hizo públicas sus preocupaciones sobre la privacidad de los datos de Facebook hace cuatro años, pero su experiencia directa supervisando datos que Facebook entrega a terceros ayuda a comprender cómo Cambridge Analytica obtuvo los datos que luego utilizaron inapropiadamente.
Facebook no respondió las preguntas sobre la información que suministró Parakilas, sino que dirigió a the Guardian a un artículo de blog de noviembre de 2017 en el que la empresa defendió sus prácticas de protección de datos, que “había mejorado significativamente” en los últimos cinco años.
“Si bien es justo criticar nuestras prácticas con desarrolladores de hace más de cinco años, no es sensato sugerir que no nos importaba o que no protegíamos la privacidad de nuestros datos”, decía el comunicado. “Los hechos cuentan una historia muy distinta”.
“La mayoría de los usuarios de Facebook”
Parakilas, de 38 años, que ahora trabaja como jefe de producto en Uber, es especialmente crítico con la política anterior de Facebook que permitía a los desarrolladores acceder a los datos personales de amigos de personas que utilizaban aplicaciones en la plataforma, sin que esos amigos lo supieran o hubieran dado su consentimiento expreso.
Esa herramienta, llamada permiso de los amigos, era muy beneficiosa para desarrolladores de software externos que, desde 2007, tenían permiso de Facebook para diseñar juegos y concursos –como el popular FarmVille– que se ofrecían en la plataforma.
Este tipo de aplicaciones proliferaron en Facebook en los años previos a la salida a Bolsa de la empresa en 2012, una época en que la mayoría de los usuarios todavía accedían a la plataforma desde ordenadores personales en lugar de sus teléfonos móviles.
Facebook se llevaba el 30% de los pagos que recibían las aplicaciones, pero a su vez daba acceso a los creadores de las aplicaciones a datos de los usuarios de Facebook.
Parakilas no sabe cuántas empresas utilizaron los datos de permiso de los amigos antes de que se pusiera fin a este tipo de acceso, alrededor de mediados de 2014. Sin embargo, dijo que cree que decenas o cientos de miles de desarrolladores pueden haberlo hecho.
Parakilas calcula que los datos de “la mayoría de los usuarios de Facebook” pueden haber sido apropiados por desarrolladores de aplicaciones sin que lo supieran. La empresa ahora tiene protocolos más estrictos respecto del acceso de terceros a datos personales.
Ninguna auditoría a los desarrolladores externos
Parakilas afirmó que cuando él trabajaba en Facebook, la empresa no aprovechaba todos los mecanismos de protección de datos, como por ejemplo una cláusula que permite a la red social realizar auditorías a los desarrolladores externos que utilicen los datos de forma inapropiada.
Dijo que era “muy raro” que se iniciaran acciones legales contra desarrolladores deshonestos o que se los echara de Facebook, y añadió: “Mientras yo estaba allí, no vi que llevaran a cabo ni una auditoría de los sistemas de los desarrolladores”.
El pasado lunes, Facebook anunció que había contratado a una empresa forense digital para realizar una auditoría de Cambridge Analytica. La decisión llega más de dos años después de que Facebook tomara conocimiento de la filtración de datos.
Durante el tiempo en que trabajó en Facebook, Parakilas dijo que la empresa alentaba a más desarrolladores a diseñar aplicaciones para la plataforma y “una de las cosas que más atraía a los desarrolladores era que les ofrecían acceso a estos datos.”
Al poco de llegar a las oficinas de la empresa en Silicon Valley, le dijeron que cualquier decisión de prohibir una aplicación debía ser previamente aprobada por el consejero delegado de la empresa, Mark Zuckerberg, aunque luego esa política se relajó y se volvió más fácil lidiar con los desarrolladores deshonestos.
Si bien la política previa de permitirles a los desarrolladores acceso a los datos de los “amigos” de los usuarios de Facebook estaba autorizada por la letra pequeña de los términos y condiciones de Facebook, y los usuarios podían dejar de compartir estos datos si lo elegían en su configuración personal, Parakilas dijo que cree que la política era problemática.
“La empresa comprendía bien que esto representaba un riesgo”, señaló. “Facebook estaba dando datos de gente que no habían dado acceso a las aplicaciones y confiaba en términos de servicio y configuraciones que la gente no lee o no comprende”.
Ésta fue la herramienta de la que se aprovechó Global Science Research al suministrar los datos a Cambridge Analytica en 2014. GSR estaba dirigida por el psicólogo de la Universidad de Cambridge Aleksandr Kogan, que diseñó una aplicación que era una prueba de personalidad para usuarios de Facebook.
Un app de personalidad que robaba datos
La prueba automáticamente se bajaba los datos de los amigos de las personas que aceptaban hacerse la prueba, supuestamente para fines académicos. Cambridge Analytica asegura que no sabía que los datos se habían obtenido de forma inapropiada y Kogan insiste en que no hizo nada ilegal y que tenía una “relación cercana de trabajo” con Facebook.
Si bien la aplicación de Kogan solo atrajo a 270.000 usuarios (de los cuales la mayoría pagó para hacerse la prueba), la empresa pudo aprovecharse de la herramienta permiso de los amigos para obtener los datos personales de más de 50 millones de usuarios de Facebook.
“La aplicación de Kogan fue una de las últimas en tener acceso al permiso de los amigos”, aclara Parakilas, añadiendo que muchas otras aplicaciones similares obtuvieron cantidades similares de datos durante años y con fines comerciales. Un estudio académico de 2010, basado en el análisis de 1.800 aplicaciones de Facebook, concluyó que alrededor del 11% de los desarrolladores externos se apropiaban de datos de los amigos de los usuarios.
Si se extrapolan esas cifras, significa que decenas de miles de aplicaciones –si no más– pueden haber tenido acceso sistemático a “datos privados y personalmente identificables” de cientos de millones de usuarios, dijo Parakilas.
También añadió que era especialmente preocupante la facilidad con que cualquiera con un conocimiento relativamente básico de programación como para crear aplicaciones podía obtener datos con un objetivo particular.
Parakilas dijo que no estaba seguro de por qué Facebook dejó de dar acceso a los desarrolladores a los datos de amigos alrededor de mediados de 2014, unos dos años después de que él dejó la empresa. Sin embargo, dijo que cree que una razón puede haber sido que los ejecutivos de Facebook se dieron cuenta de que las aplicaciones más grandes se estaban llevando un tesoro enorme de datos muy valiosos.
Recordó conversaciones con ejecutivos que estaban nerviosos por el valor comercial de los datos que se entregaban a otras empresas.
“Estaban preocupados al ver que los grandes desarrolladores de aplicaciones estaban construyendo sus propios gráficos sociales, o sea que podían establecer las conexiones entre las personas”, dijo. “Les preocupaba que fueran a diseñar sus propias redes sociales”.
“Lo trataron como un ejercicio de relaciones públicas”
Parakilas dijo que hizo presión dentro de la empresa para que Facebook “fuera más riguroso” y reforzara la protección de datos, pero que no tuvo mucho apoyo. Sus advertencias incluyeron una presentación en PowerPoint a mediados de 2012 en la que les mostró a los ejecutivos de alto rango “un mapa de la vulnerabilidad de los datos dentro de la plataforma de Facebook.”
“Incluí medidas de protección que queríamos poner en práctica, los sitios que estaban más expuestos y los tipos de actores deshonestos que podían hacer un uso malicioso de los datos”, explicó. “En la lista de actores deshonestos incluí a países extranjeros y comerciantes de datos”.
Frustrado por la falta de acción, Parakilas se fue de Facebook a fines de 2012. “Sentí que a la empresa no le importaban mis preocupaciones. Durante años cerré la boca por cuidar mis intereses, para ser franco”.
Parakilas dice que eso cambió cuando escuchó el testimonio que dieron los abogados de Facebook a los investigadores del Senado y la Cámara Baja, a fines de 2017, sobre los intentos de Rusia de interferir en las elecciones generales. “Lo trataron como un ejercicio de relaciones públicas”, dijo. “Parecía que lo único que les importaba era limitar cualquier responsabilidad y no exponer a la empresa, en lugar de ayudar a su país a resolver una cuestión de seguridad nacional”.
Fue en ese momento que Parakilas decidió hablar públicamente de sus preocupaciones y escribió un artículo para el New York Times en el que decía que no se podía confiar en que Facebook se regulase a sí misma. Desde entonces, Parakilas se ha convertido en asesor del Centro para una Tecnología Humanitaria, una organización liderada por Tristan Harris, un exempleado de Google que se convirtió en filtrador de datos de la industria.
Traducido por Lucía Balducci