En marzo pasado se informaba que Facebook había pedido a los usuarios sus contraseñas de correo electrónico como parte de un proceso de verificación de cuenta. La información fue revelada por el consultor de seguridad independiente e investigador Mike Edward Moras. Facebook rápidamente cesó el proceso, pero en ese momento se desconocía qué había ocurrido con las contraseñas recibidas.
Facebook ha admitido haber subido aproximadamente 1,5 millones de contactos de correo electrónico de usuarios como parte de este proceso, sin pedir su consentimiento. Si los usuarios tienen en promedio alrededor de 100 contactos, esto significaría que Facebook adquirió las direcciones de 100 millones de personas o más sin su permiso expreso.
Facebook ha dicho que esto no fue intencional. “Calculamos que hasta 1,5 millones de contactos de correo electrónico de personas pueden haber sido cargados”, dijo un portavoz de Facebook. “Estos contactos no fueron compartidos con nadie y los estamos borrando. Hemos corregido el problema subyacente y estamos notificando a las personas cuyos contactos fueron importados. Los usuarios también pueden revisar y administrar los contactos que comparten con Facebook en su configuración”.
Aparentemente, esto ha estado sucediendo desde mayo de 2016. Antes se preguntaba a los usuarios si deseaban verificar su identidad a través de su cuenta de correo electrónico y si aceptaban cargar sus contactos de forma voluntaria. Cuando se cambió el sistema, el código de raspado de cuentas se dejó intacto “involuntariamente”. Por lo tanto, Facebook pudo capturar toda la red social de los usuarios a través de su lista de contactos sin permiso expreso. Podría decirse que la adquisición de estos datos se realizó mediante engaño, ya que era automática y no hacía referencia al usuario.
Aunque este abuso es posible en los Estados Unidos y en muchos otros países, la situación es diferente en Europa en virtud del Reglamento General de Protección de Datos. Estos derechos sólo se aplican a los ciudadanos y residentes de Europa. En Irlanda ya se están llevando a cabo varias investigaciones sobre el GDPR relacionado con Facebook.
El destino dado por Facebook a los datos que ha subido se pierde probablemente en las nieblas de los algoritmos y la automatización. Es casi seguro que los datos se utilizaron para mejorar los sistemas de segmentación de anuncios de la empresa; pero aunque las direcciones en sí mismas podrían ser rastreadas y eliminadas, no es tan seguro que el uso que ya se ha hecho de esas direcciones pueda ser extraído y eliminado.
Facebook se enfrenta a una presión cada vez mayor contra sus prácticas de privacidad en muchas partes del mundo. El gobierno del Reino Unido lo ha descrito como un “gángster digital”, y el regulador de protección de datos del Reino Unido impuso la multa máxima posible de 500.000 libras esterlinas por su papel en el escándalo de Cambridge Analytica.
En marzo de 2019 se supo que la empresa había almacenado millones de contraseñas de usuarios de Facebook e Instagram en texto plano. Y en abril de 2019, se descubrieron más de 540 millones de registros que contenían datos sobre los usuarios de Facebook y sus actividades en un cubo AWS S3 sin protección.
Posiblemente debido a todos estos incidentes, el director ejecutivo de Facebook, Mark Zuckerberg, publicó un artículo de opinión en marzo de 2019 en el que afirmaba que la empresa cambiaría su forma de actuar y se convertiría en “una plataforma de mensajería y redes sociales centrada en la privacidad”. Las motivaciones de Zuckerberg han sido cuestionada por nuestro propio medio. Antes de que eso ocurra, es posible que sigamos viendo nuevos escándalos relacionados con la relajada actitud que Facebook tiene con sus usuarios.
Ilustración: Gianni Puglisi vía Flickr (licencia Creative Commons)