A medida que Facebook buscaba convertirse en el servicio de medios sociales dominante en el mundo, llegó a acuerdos que permitían a los fabricantes de teléfonos y otros dispositivos acceder a una gran cantidad de información personal de sus usuarios.
Facebook ha alcanzado alianzas para compartir datos con al menos 60 fabricantes de dispositivos, incluidos Apple, Amazon, BlackBerry, Microsoft y Samsung, durante la última década, comenzando antes de que las aplicaciones de Facebook estuvieran ampliamente disponibles en los teléfonos inteligentes, dijeron funcionarios de la compañía. Las ofertas, la mayoría de las cuales siguen vigentes, permitieron a Facebook expandir su alcance y dejar que los fabricantes de dispositivos ofrezcan a los clientes características populares de la red social, como mensajes, botones «me gusta» y libretas de direcciones.
Pero las asociaciones, cuyo alcance no se ha informado anteriormente, plantean inquietudes sobre la protección de la privacidad de la empresa y el cumplimiento de un decreto de consentimiento de 2011 con la Comisión Federal de Comercio. Facebook permitió a las empresas de dispositivos acceder a los datos de los amigos de los usuarios sin su consentimiento explícito, incluso después de declarar que ya no compartiría esa información con personas externas. Algunos fabricantes de dispositivos podían recuperar información personal incluso de amigos de los usuarios que creían que habían prohibido compartir información, halló The New York Times.
Facebook fue objeto de un escrutinio cada vez más intenso por parte de los legisladores y los reguladores luego de que en marzo aparecieran informes de una firma consultora política, Cambridge Analytica, que utilizaba mal la información privada de decenas de millones de usuarios de Facebook.
En el furor que siguió, los líderes de Facebook dijeron que el tipo de acceso explotado por Cambridge en 2014 se cortó el año siguiente, cuando Facebook prohibió a los desarrolladores recopilar información de los amigos de los usuarios. Pero los funcionarios de la compañía no revelaron que Facebook había eximido a los fabricantes de teléfonos celulares, tabletas y otro hardware de tales restricciones.
«Se podría pensar que Facebook o el fabricante del dispositivo es confiable», dijo Serge Egelman, un investigador de privacidad de la Universidad de California, Berkeley, que estudia la seguridad de las aplicaciones móviles . «Pero el problema es que a medida que se recopilan más y más datos en el dispositivo, y si se puede acceder mediante las aplicaciones en el dispositivo, se crean serios riesgos de privacidad y seguridad».
En las entrevistas, los funcionarios de Facebook defendieron el intercambio de datos de acuerdo con sus políticas de privacidad, el acuerdo de la Comisión Federal de Comercio y las promesas a los usuarios. Dijeron que sus asociaciones, que decidió comenzar a cerrar en abril, se regían por contratos que limitaban estrictamente el uso de los datos, incluido el almacenado en los servidores de los socios. Los funcionarios agregaron que no conocían ningún caso en el que se hubiera utilizado indebidamente la información.
La compañía ve sus socios de dispositivos como extensiones de Facebook, atendiendo a sus más de dos mil millones de usuarios, dijeron los funcionarios.
«Estas asociaciones funcionan de manera muy diferente a la forma en que los desarrolladores de aplicaciones utilizan nuestra plataforma», dijo Ime Archibong, vicepresidente de Facebook. A diferencia de los desarrolladores que ofrecen juegos y servicios a los usuarios de Facebook, los socios del dispositivo pueden usar datos de Facebook solo para proporcionar versiones de «la experiencia de Facebook», dijeron los funcionarios.
Algunos socios de dispositivos pueden recuperar el estado de relación de los usuarios de Facebook, la religión, la orientación política y los próximos eventos, entre otros datos. Las pruebas de The Times mostraron que los socios solicitaron y recibieron datos de la misma forma que otros terceros.
La visión de Facebook de que los fabricantes de dispositivos no son ajenos permite que los socios vayan más lejos, The Times encontró: Pueden obtener datos sobre los amigos de Facebook de un usuario, incluso aquellos que han negado el permiso de Facebook para compartir información con terceros.
En entrevistas, varios ex ingenieros de software de Facebook y expertos en seguridad dijeron que estaban sorprendidos por la posibilidad de anular las restricciones de uso compartido.
«Es como tener cerraduras instaladas, solo para descubrir que el cerrajero también le dio las llaves a todos sus amigos para que puedan entrar y revisar sus cosas sin tener que pedir permiso», dijo Ashkan Soltani, una investigación y privacidad consultor que anteriormente se desempeñó como técnico jefe de la FTC.
Los detalles de las asociaciones de Facebook han surgido en medio de un ajuste de cuentas en Silicon Valley sobre el volumen de información personal recopilada en Internet y monetizada por la industria tecnológica. La recopilación generalizada de datos, aunque no está regulada en gran medida en los Estados Unidos, ha sido objeto de críticas crecientes por parte de funcionarios electos en el país y en el extranjero y ha despertado la preocupación de los consumidores sobre la libertad con que se comparte su información.
En una aparición tensa ante el Congreso en marzo, el presidente ejecutivo de Facebook, Mark Zuckerberg, enfatizó lo que dijo que era una prioridad de la compañía para los usuarios de Facebook: «Cada contenido que compartes en Facebook es tuyo», declaró. «Tienes control total sobre quién lo ve y cómo lo compartes».
Pero las asociaciones de dispositivos provocaron discusiones incluso dentro de Facebook en 2012, según Sandy Parakilas, quien dirigió el departamento de cumplimiento de privacidad y publicidad de terceros de Facebook en ese momento.
«Esto fue marcado internamente como un problema de privacidad», dijo Parakilas, quien abandonó Facebook ese año y recientemente se ha convertido en un duro crítico de la compañía. «Es impactante que esta práctica aún pueda continuar seis años más tarde, y parece contradecir el testimonio de Facebook ante el Congreso de que todos los permisos de amigos estaban deshabilitados».
Las asociaciones se mencionaron brevemente en documentos presentados a los legisladores alemanes que investigan las prácticas de privacidad del gigante de las redes sociales y publicados por Facebook a mediados de mayo. Pero Facebook proporcionó a los legisladores el nombre de un solo socio, BlackBerry, creador del dispositivo móvil que alguna vez estuvo en todas partes, y poca información sobre cómo funcionaron los acuerdos.
La presentación siguió al testimonio de Joel Kaplan, vicepresidente de política pública global de Facebook, durante una audiencia parlamentaria alemana a puertas cerradas en abril. Elisabeth Winkelmeier-Becker, una de las legisladoras que interrogó al Sr. Kaplan, dijo en una entrevista que creía que las asociaciones de datos divulgadas por Facebook violaban los derechos de privacidad de los usuarios.
«Lo que hemos tratado de determinar es si Facebook ha entregado a sabiendas los datos de los usuarios en otro lugar sin el consentimiento explícito», dijo la Sra. Winkelmeier-Becker. «Nunca hubiera imaginado que esto podría estar pasando en secreto a través de acuerdos con fabricantes de dispositivos. Los usuarios de BlackBerry parecen haber sido convertidos en distribuidores de datos, sin saberlo y sin querer «.
En entrevistas con The Times, Facebook identificó otros socios: Apple y Samsung, los dos mayores fabricantes de teléfonos inteligentes del mundo , y Amazon, que vende tabletas.
Un portavoz de Apple dijo que la compañía dependía del acceso privado a los datos de Facebook para las características que les permitían a los usuarios publicar fotos en la red social sin abrir la aplicación de Facebook, entre otras cosas. Apple dijo que sus teléfonos ya no tenían acceso a Facebook desde septiembre pasado.
Samsung se negó a responder a las preguntas sobre si tenía alguna asociación de intercambio de datos con Facebook. Amazon también se negó a responder preguntas.
Usher Lieberman, portavoz de BlackBerry, dijo en un comunicado que la compañía usó datos de Facebook solo para dar acceso a sus propios clientes a sus redes y mensajes de Facebook. El Sr. Lieberman dijo que la compañía «no recopiló ni extrajo los datos de Facebook de nuestros clientes» y agregó que «BlackBerry siempre ha estado en el negocio de proteger, no monetizar, los datos de los clientes».
Microsoft ingresó a una asociación con Facebook en 2008 que permitió a los dispositivos impulsados por Microsoft hacer cosas como agregar contactos y amigos y recibir notificaciones, según un vocero. Agregó que los datos se almacenaron localmente en el teléfono y no se sincronizaron con los servidores de Microsoft.
Facebook reconoció que algunos socios almacenaron los datos de los usuarios, incluidos los datos de los amigos, en sus propios servidores. Un funcionario de Facebook dijo que, independientemente de dónde se guardaran los datos, se regía por estrictos acuerdos entre las empresas.
«Estoy estupefacto por la actitud de que cualquier persona en la oficina corporativa de Facebook piense que permitir el acceso de terceros a los datos sería una buena idea», dijo Henning Schulzrinne, profesor de ciencias de la computación en la Universidad de Columbia que se especializa en seguridad de redes y sistemas móviles.
El escándalo de Cambridge Analytica reveló cuán vagamente Facebook había vigilado el bullicioso ecosistema de los desarrolladores que construían aplicaciones en su plataforma. Varían desde conocidos jugadores como Zynga, el creador del juego FarmVille, hasta otros más pequeños, como un contratista de Cambridge que usó un cuestionario tomado por unos 300,000 usuarios de Facebook para acceder a los perfiles de hasta 87 millones de sus amigos. .
Esos desarrolladores se basaron en los canales de datos públicos de Facebook, conocidos como interfaces de programación de aplicaciones o API. Pero a partir de 2007, la compañía también estableció canales de datos privados para fabricantes de dispositivos.
En ese momento, los teléfonos móviles eran menos poderosos, y relativamente pocos de ellos podían ejecutar aplicaciones independientes de Facebook como las que ahora son comunes en los teléfonos inteligentes. La compañía continuó construyendo nuevas API privadas para los fabricantes de dispositivos hasta 2014, extendiendo los datos de los usuarios a través de decenas de millones de dispositivos móviles, consolas de juegos, televisores y otros sistemas fuera del control directo de Facebook.
Facebook comenzó a reducir las asociaciones en abril, después de evaluar sus prácticas de privacidad y datos a raíz del escándalo de Cambridge Analytica. Archibong dijo que la compañía había llegado a la conclusión de que las asociaciones ya no eran necesarias para atender a los usuarios de Facebook. Alrededor de 22 de ellos han sido cerrados.
El amplio acceso de Facebook a los fabricantes de dispositivos plantea dudas sobre el cumplimiento de un decreto de consentimiento de 2011 con la FTC.
El decreto prohibió a Facebook anular la configuración de privacidad de los usuarios sin obtener primero el consentimiento explícito. Ese acuerdo surgió de una investigación que encontró que Facebook había permitido a los desarrolladores de aplicaciones y otros terceros recopilar datos personales sobre los amigos de los usuarios, incluso cuando esos amigos habían pedido que su información permanezca privada.
Después de las revelaciones de Cambridge Analytica, la FTC comenzó una investigación sobre si el intercambio continuo de datos de Facebook después de 2011 violó el decreto, lo que podría exponer a la compañía a multas.
Funcionarios de Facebook dijeron que los canales de datos privados no violaron el decreto porque la compañía consideraba a sus socios de hardware como «proveedores de servicios», similar a un servicio de computación en nube pagado para almacenar datos de Facebook o una compañía contratada para procesar transacciones con tarjetas de crédito. De acuerdo con el decreto de consentimiento, Facebook no necesita buscar permiso adicional para compartir datos de amistad con proveedores de servicios.
«Estos contratos y asociaciones son completamente consistentes con el decreto de consentimiento de la FTC de Facebook», dijo el Sr. Archibong, el funcionario de Facebook.
Pero Jessica Rich, ex funcionaria de la FTC que ayudó a encabezar la investigación previa de la comisión en Facebook, no estuvo de acuerdo con esa evaluación.
«De acuerdo con la interpretación de Facebook, la excepción se traga la regla», dijo la Sra. Rich, ahora con la Unión de Consumidores. «Podrían argumentar que cualquier intercambio de datos con terceros es parte de la experiencia de Facebook. Y esto no es en absoluto cómo el público interpretó su anuncio de 2014 de que limitarían el acceso de aplicaciones de terceros a datos de amigos «.
Para probar el acceso de un socio a los canales de datos privados de Facebook, The Times usó la cuenta de Facebook de un reportero -con alrededor de 550 amigos- y un dispositivo BlackBerry 2013, monitoreando los datos que el dispositivo solicitó y recibió. (Los dispositivos BlackBerry más recientes, que ejecutan el sistema operativo Android de Google, no usan los mismos canales privados, dijeron los funcionarios de BlackBerry).
Inmediatamente después de que el reportero conectó el dispositivo a su cuenta de Facebook, solicitó algunos de sus datos de perfil, incluida la identificación del usuario, nombre, imagen, información «sobre», ubicación, correo electrónico y número de teléfono celular. El dispositivo luego recuperó los mensajes privados del periodista y las respuestas a ellos, junto con el nombre y la identificación del usuario de cada persona con la que se estaba comunicando.
Los datos fluyeron a una aplicación de BlackBerry conocida como Hub, que fue diseñada para permitir a los usuarios de BlackBerry ver todos sus mensajes y cuentas de redes sociales en un solo lugar.
El Hub también solicitó y recibió datos que la política de Facebook parece prohibir. Desde 2015, Facebook ha dicho que las aplicaciones pueden solicitar solo los nombres de amigos que usan la misma aplicación. Pero la aplicación BlackBerry tenía acceso a todos los amigos de Facebook del periodista y, para la mayoría de ellos, información devuelta, como la identificación del usuario, el cumpleaños, el trabajo y el historial educativo, y si estaban actualmente en línea.
El dispositivo BlackBerry también pudo recuperar información de identificación para casi 295,000 usuarios de Facebook. La mayoría de ellos eran amigos de Facebook de segundo grado del periodista o amigos de amigos.
En general, Facebook faculta a los dispositivos BlackBerry para acceder a más de 50 tipos de información sobre los usuarios y sus amigos, encontró The Times.
