En agosto de 2018, la app de VPN para móviles de Facebook llamada Onavo Protect fue noticia cuando Apple solicitó a la empresa liderada por Mark Zuckerberg que elimine la aplicación de iTunes por violar las políticas de Apple en lo que a recolección de datos se refiere. Esta vez, Facebook vuelve a estar involucrado en una polémica por violar las políticas de Apple con una nueva app de VPN, llamada “Facebook Research”, que la red social está promoviendo como parte de un proyecto denominado “Project Atlas”, en el que está pagando 20 USD por mes a usuarios de entre 13 y 35 años para que usen la aplicación con el objetivo de recolectar datos de sus dispositivos.
En el caso de la app Onavo Protect, Facebook la estaba utilizando como herramienta para recolectar datos y comprender que actividades realizan los usuarios en sus smartphones y cómo utilizan las distintas aplicaciones que tienen instaladas en sus dispositivos. Pero en el caso de la app Facebook Research, de acuerdo a un reportaje publicado por TechCrunch a partir de una investigación realizada por el medio, la compañía obtiene acceso root al tráfico de red en dispositivos iOS; es decir, a los datos más sensibles del usuario, gracias a que el usuario acepta instalar un certificado que Apple estableció que solo puede ser utilizado para distribuir aplicaciones internas.
Según explicó el medio, horas después de haber publicado el reportaje, Facebook reveló que daría de baja la versión de “Facebook Research” para iOS a raíz de su publicación. Sin embargo, poco tiempo después un vocero de Apple confirmó a TechCrunch que habían bloqueado la app de Facebook antes que la red social la diera de baja de manera voluntaria, ya que habían violado sus políticas. Además, la compañía liderada por Tim Cook revocó dicho certificado a Facebook, lo cual generó muchas molestias en los empleados de la red social porque el certificado es fundamental para el trabajo diario que realizan miles de empleados que trabajan en las apps internas. Sin embargo, horas más tarde Apple levantó la prohibición.
Sobre la app VPN Facebook Research
Como adelantamos anteriormente, la app Facebook Research requiere que el usuario instale un certificado root de Apple dirigido a empresas, el cual ofrece a Facebook la posibilidad de recolectar de manera continua datos como: mensajes en apps de redes sociales y de mensajería instantánea, fotos y videos enviados a terceros, datos sobre búsquedas en la web, actividad en el navegador, correos, registro de ubicación, etc. Una vez instalada, los usuarios deberán mantener la VPN corriendo y enviando datos para que reciban el pago acordado.
La aplicación obtiene un acceso casi ilimitado al dispositivo, con lo cual apela a la confianza del usuario. En este sentido, según explicó el especialista en seguridad Will Strafach luego de analizar la app, “si bien no queda claro si Facebook está accediendo a toda esta información, si hace uso total del nivel de acceso que los usuarios conceden al solicitar que instalen el certificado tendrá la capacidad de continuamente recolectar esta enorme cantidad de datos privados”.
Casualidad o no, también se suma a la polémica el hecho de que en lugar de ofrecer la app a través de tiendas oficiales como App Store, Facebook ha estado trabajando con tres servicios para testeo de aplicaciones para distribuir Facebook Research, como son: BetaBound, uTest y Applause; las cuales mostraban publicidad en plataformas como Instagram o Snapchat para reclutar participantes interesados en instalar la aplicación como parte de una “investigación sobre medios sociales paga”.
Un vocero de Facebook explico que “el único fin de la aplicación es comprender cómo los usuarios utilizan sus teléfonos y otros servicios. Para eso invitamos a las personas a participar en esta investigación que nos ayuda a identificar qué cosas podemos hacer mejor. Asimismo, proveemos información detallada a los usuarios sobre el tipo de datos que recopilamos y cómo pueden participar. Además, no compartimos esta información con otras personas y los usuarios pueden dejar de participar en cualquier momento”, explicó.
Por otra parte, si bien el vocero de Facebook dijo que la app estaba alineada con los lineamientos establecidos por el programa empresarial de desarrollo de Apple, desde que Apple estableció como requisito que los desarrolladores solo pueden utilizar este sistema de certificación para distribuir aplicaciones corporativas internas a sus propios empleados a menos que estén bajo supervisión de los mismos, “reclutar personas de manera aleatoria y pagarles un monto mensual parece violar el espíritu de la regla”, publica el reporte.
Asimismo, un vocero de Apple explicó que "cualquier desarrollador que use estos certificados para fines empresariales con los consumidores tendrá su certificado revocado", ya que Apple entiende que con esta penalización está protegiendo a los usuarios de iOS y sus datos.
Si bien como dijimos la aplicación ya no está disponible para iOS por decisión de Apple, pese a que Facebook anunció que la daría de baja, Facebook Research continuará activa en Android.
Este hecho se suma al historial negativo que Facebook acumuló durante el 2018 con casos como el de Cambridge Analytica, ya que en su afán de recolectar datos, hizo caso omiso a las políticas de Apple. Además, el hecho de promocionar esta aplicación en menores, por más que se necesite el consentimiento de los padres, quienes deberán completar un formulario autorizando la instalación y utilización de la app, es cuestionable; sobre todo al existir un pago a cambio.
Y tal como explicaron los especialistas de ESET Stephen Cobb y Lysa Myers en Tendencias de Ciberseguridad para el 2019, “la forma en que gestiona los datos privados una empresa puede ser un factor que determine que siga en pie o no. Si bien esto puede ser diferente para compañías como Facebook o Google, dado que están muy arraigadas en la vida diaria y laboral de millones de personas y empresas, también es cierto que cualquier acción llevada a cabo por estas plataformas que represente un riesgo o peligro para ciertos individuos tenderá a alejarlos y a generar una pérdida en la confianza”, aseguran los expertos. Por otra parte, los expertos opinaron que “si Facebook realmente comienza a decaer, quizás podría deberse a que pareciera continuar destinando recursos para aprovecharse de la dependencia de la gente con su plataforma; aparentemente sin notar que solo están perdiendo la confianza de sus usuarios”.