Cómo Facebook socava las protecciones de privacidad para sus 2 mil millones de usuarios de WhatsApp

 ProPublica es una sala de redacción sin fines de lucro que investiga los abusos de poder. Regístrese para recibir nuestras historias más importantes tan pronto como se publiquen.


Aclaración, 8 de septiembre de 2021: Una versión anterior de esta historia causó confusión involuntaria sobre la medida en que WhatsApp examina los mensajes de sus usuarios y si rompe el cifrado que mantiene los intercambios en secreto. Hemos alterado el lenguaje en la historia para dejar en claro que la compañía examina solo los mensajes de los hilos que han sido reportados por los usuarios como posiblemente abusivos. No rompe el cifrado de extremo a extremo.


CUANDO MARK ZUCKERBERG dio a conocer una nueva "visión centrada en la privacidad" para Facebook en marzo de 2019, citó el servicio de mensajería global de la compañía, WhatsApp, como modelo. Reconociendo que "actualmente no tenemos una sólida reputación para construir servicios de protección de la privacidad", el CEO de Facebook escribió que "creo que el futuro de la comunicación cambiará cada vez más a servicios privados y encriptados donde las personas pueden estar seguras de que lo que se dicen entre sí se mantiene seguro y sus mensajes y contenido no se quedarán para siempre. Este es el futuro que espero que ayudemos a lograr. Planeamos construir esto de la manera en que hemos desarrollado WhatsApp".

La visión de Zuckerberg se centró en la característica distintiva de WhatsApp, que dijo que la compañía planeaba aplicar Instagram y Facebook Messenger:cifrado de extremo a extremo, que convierte todos los mensajes en un formato ilegible que solo se desbloquea cuando llegan a sus destinos previstos. Los mensajes de WhatsApp son tan seguros, dijo, que nadie más, ni siquiera la compañía, puede leer una palabra. Como Zuckerberg lo había dicho anteriormente, en un testimonio ante el Senado de los Estados Unidos en 2018, "No vemos nada del contenido en WhatsApp".

WhatsApp enfatiza este punto de manera tan consistente que una bandera con una garantía similar aparece automáticamente en la pantalla antes de que los usuarios envíen mensajes: "Nadie fuera de este chat, ni siquiera WhatsApp, puede leerlos o escucharlos".

Dadas esas amplias garantías, es posible que se sorprenda al saber que WhatsApp tiene más de 1,000 trabajadores contratados que llenan pisos de edificios de oficinas en Austin, Texas, Dublín y Singapur. Sentados en computadoras en cápsulas organizadas por asignaciones de trabajo, estos trabajadores por hora usan un software especial de Facebook para examinar millones de mensajes privados, imágenes y videos. Juzgan lo que parpadea en su pantalla, afirmaciones de todo, desde fraude o spam hasta pornografía infantil y posibles conspiraciones terroristas, generalmente en menos de un minuto.


Los trabajadores tienen acceso solo a un subconjunto de mensajes de WhatsApp: aquellos marcados por los usuarios y reenviados automáticamente a la empresa como posiblemente abusivos. La revisión es un elemento en una operación de monitoreo más amplia en la que la compañía también revisa el material que no está encriptado, incluidos los datos sobre el remitente y su cuenta.

Vigilar a los usuarios mientras se les asegura que su privacidad es sacrosanta hace que la misión en WhatsApp sea incómoda. Una presentación interna de marketing de la compañía de 49 diapositivas de diciembre, obtenida por ProPublica, enfatiza la promoción "feroz" de la "narrativa de privacidad" de WhatsApp. Compara su "carácter de marca" con "la madre inmigrante" y muestra una foto de Malala Yousafzai, quien sobrevivió a un tiroteo de los talibanes y se convirtió en ganadora del Premio Nobel de la Paz, en una diapositiva titulada "Parámetros de tono de marca". La presentación no menciona los esfuerzos de moderación de contenido de la compañía.

El director de comunicaciones de WhatsApp, Carl Woog, reconoció que los equipos de contratistas en Austin y en otros lugares revisan los mensajes de WhatsApp para identificar y eliminar a "los peores" abusadores. Pero Woog le dijo a ProPublica que la compañía no considera que este trabajo sea moderación de contenido, diciendo: "En realidad, en realidad no usamos típicamente el término para WhatsApp". La compañía se negó a poner a los ejecutivos a disposición para entrevistas para este artículo, pero respondió a las preguntas con comentarios escritos. "WhatsApp es un salvavidas para millones de personas en todo el mundo", dijo la compañía. "Las decisiones que tomamos en torno a cómo construimos nuestra aplicación se centran en la privacidad de nuestros usuarios, manteniendo un alto grado de confiabilidad y evitando el abuso".

La negación de WhatsApp de que modera el contenido es notablemente diferente de lo que Facebook Inc. dice sobre los hermanos corporativos de WhatsApp, Instagram y Facebook. La compañía ha dicho que unos 15.000 moderadores examinan el contenido en Facebook e Instagram, ninguno de los cuales está encriptado. Publica informes trimestrales de transparencia que detallan cuántas cuentas Facebook e Instagram han "accionado" para varias categorías de contenido abusivo. No existe tal informe para WhatsApp.

Desplegar un ejército de revisores de contenido es solo una de las formas en que Facebook Inc. ha comprometido la privacidad de los usuarios de WhatsApp. Juntas, las acciones de la compañía han dejado a WhatsApp, la aplicación de mensajería más grande del mundo, con dos mil millones de usuarios, mucho menos privada de lo que sus usuarios probablemente entienden o esperan. Una investigación de ProPublica, que se basa en datos, documentos y docenas de entrevistas con empleados y contratistas actuales y anteriores, revela cómo, desde que compró WhatsApp en 2014, Facebook ha socavado silenciosamente sus amplias garantías de seguridad de múltiples maneras. (Dos artículos este verano señalaron la existencia de los moderadores de WhatsApp, pero se centraron en sus condiciones de trabajo y pago en lugar de su efecto en la privacidad de los usuarios. Este artículo es el primero en revelar los detalles y el alcance de la capacidad de la empresa para examinar los mensajes y los datos de los usuarios, y para examinar lo que la empresa hace con esa información).

Muchas de las afirmaciones de los moderadores de contenido que trabajan para WhatsApp se hacen eco de una queja confidencial de un denunciante presentada el año pasado ante la Comisión de Bolsa y Valores de los Estados Unidos. La queja, que ProPublica obtuvo, detalla el uso extensivo de WhatsApp de contratistas externos, sistemas de inteligencia artificial e información de cuentas para examinar los mensajes, imágenes y videos de los usuarios. Alega que las afirmaciones de la compañía de proteger la privacidad de los usuarios son falsas. "No hemos visto esta queja", dijo el portavoz de la compañía. La SEC no ha tomado ninguna acción pública al respecto; un portavoz de la agencia declinó hacer comentarios.

Facebook Inc. también ha minimizado la cantidad de datos que recopila de los usuarios de WhatsApp, lo que hace con él y cuánto comparte con las autoridades policiales. Por ejemplo, WhatsApp comparte metadatos, registros no cifrados que pueden revelar mucho sobre la actividad de un usuario, con agencias de aplicación de la ley como el Departamento de Justicia. Algunos rivales, como Signal, recopilan intencionalmente muchos menos metadatos para evitar incursiones en la privacidad de sus usuarios y, por lo tanto, comparten mucho menos con las fuerzas del orden. ("WhatsApp responde a solicitudes legales válidas", dijo el portavoz de la compañía, "incluidas las órdenes que requieren que proporcionemos en tiempo real a quién está enviando un mensaje una persona específica").


Los datos de los usuarios de WhatsApp, según ha sabido ProPublica, ayudaron a los fiscales a construir un caso de alto perfil contra un empleado del Departamento del Tesoro que filtró documentos confidenciales a BuzzFeed News que expusieron cómo fluye el dinero sucio a través de los bancos estadounidenses.

Al igual que otras redes sociales y plataformas de comunicación, WhatsApp está atrapado entre los usuarios que esperan privacidad y las entidades de aplicación de la ley que efectivamente exigen lo contrario: que WhatsApp entregue información que ayude a combatir el crimen y el abuso en línea. WhatsApp ha respondido a este dilema afirmando que no es ningún dilema en absoluto. "Creo que absolutamente podemos tener seguridad y protección para las personas a través del cifrado de extremo a extremo y trabajar con las fuerzas del orden para resolver crímenes", dijo Will Cathcart, cuyo título es Jefe de WhatsApp, en una entrevista de YouTube con un grupo de expertos australiano en julio.

La tensión entre la privacidad y la difusión de información a las fuerzas del orden se ve exacerbada por una segunda presión: la necesidad de Facebook de ganar dinero con WhatsApp. Desde que pagó $ 22 mil millones para comprar WhatsApp en 2014, Facebook ha estado tratando de descubrir cómo generar ganancias de un servicio que no cobra un centavo a sus usuarios.

Ese enigma ha llevado periódicamente a movimientos que enojan a los usuarios, reguladores o ambos. El objetivo de monetizar la aplicación fue parte de la decisión de la compañía en 2016 de comenzar a compartir los datos de los usuarios de WhatsApp con Facebook, algo que la compañía había dicho a los reguladores de la Unión Europea que era tecnológicamente imposible. El mismo impulso impulsó un polémico plan, abandonado a finales de 2019, para vender publicidad en WhatsApp. Y el mandato de búsqueda de ganancias estuvo detrás de otra iniciativa fallida en enero: la introducción de una nueva política de privacidad para las interacciones de los usuarios con las empresas en WhatsApp, lo que permite a las empresas utilizar los datos de los clientes de nuevas maneras. Ese anuncio provocó un éxodo de usuarios a aplicaciones de la competencia.

El plan de negocios cada vez más agresivo de WhatsApp se centra en cobrar a las empresas por una variedad de servicios, permitiendo a los usuarios realizar pagos a través de WhatsApp y administrando los chats de servicio al cliente, que ofrecen conveniencia pero menos protecciones de privacidad. El resultado es un confuso sistema de privacidad de dos niveles dentro de la misma aplicación donde las protecciones del cifrado de extremo a extremo se erosionan aún más cuando los usuarios de WhatsApp emplean el servicio para comunicarse con las empresas.

La presentación de marketing de diciembre de la compañía captura los imperativos divergentes de WhatsApp. Afirma que "la privacidad seguirá siendo importante". Pero también transmite lo que parece ser una misión más urgente: la necesidad de "abrir la apertura de la marca para abarcar nuestros futuros objetivos de negocio".

I. “Content Moderation Associates”

EN MUCHOS SENTIDOS,la experiencia de ser moderador de contenido para WhatsApp en Austin es idéntica a ser moderador de Facebook o Instagram, según entrevistas con 29 moderadores actuales y anteriores. En su mayoría en sus 20 y 30 años, muchos con experiencia pasada como empleados de tiendas, verificadores de comestibles y baristas, los moderadores son contratados y empleados por Accenture, un gran contratista corporativo que trabaja para Facebook y otros gigantes de Fortune 500.

Las ofertas de trabajo anuncian puestos de "Revisión de contenido" y no mencionan Facebook o WhatsApp. Los documentos de empleo enumeran el título inicial de los trabajadores como "asociado de moderación de contenido". El pago comienza alrededor de $ 16.50 por hora. Los moderadores deben informar a cualquier persona que les pida que trabaje para Accenture, y se les exige que firmen acuerdos de confidencialidad. Citando los NDA, casi todos los moderadores actuales y anteriores entrevistados por ProPublica insistieron en el anonimato. (Un portavoz de Accenture declinó hacer comentarios, remitiendo todas las preguntas sobre la moderación de contenido a WhatsApp).

Cuando el equipo de WhatsApp se reunió en Austin en 2019, los moderadores de Facebook ya ocupaban el cuarto piso de una torre de oficinas en Sixth Street, adyacente a la famosa escena de bares y música de la ciudad. El equipo de WhatsApp se instaló en el piso de arriba, con nuevas cápsulas de trabajo acristaladas y baños más bonitos que provocaron un tinte de envidia en algunos miembros del equipo de Facebook. La mayoría del equipo de WhatsApp se dispersó para trabajar desde casa durante la pandemia. Ya sea en la oficina o en casa, pasan sus días frente a las pantallas, utilizando una herramienta de software de Facebook para examinar un flujo de "boletos", organizados por tema en colas "reactivas" y "proactivas".


Colectivamente, los trabajadores examinan millones de piezas de contenido de WhatsApp cada semana. Cada revisor maneja más de 600 boletos al día, lo que les da menos de un minuto por boleto. WhatsApp se negó a revelar cuántos trabajadores contratados están empleados para la revisión de contenido, pero una lista parcial de personal revisada por ProPublica sugiere que, solo en Accenture, son más de 1,000. Se espera que los moderadores de WhatsApp, al igual que sus homólogos de Facebook e Instagram, cumplan con las métricas de rendimiento de velocidad y precisión, que son auditadas por Accenture.

Sus trabajos difieren de otras maneras. Debido a que el contenido de WhatsApp está encriptado, los sistemas de inteligencia artificial no pueden escanear automáticamente todos los chats, imágenes y videos, como lo hacen en Facebook e Instagram. En cambio, los revisores de WhatsApp obtienen acceso a contenido privado cuando los usuarios presionan el botón "informar" en la aplicación, identificando un mensaje como presuntamente violatorio de los términos de servicio de la plataforma. Esto reenvía cinco mensajes, el presuntamente ofensivo junto con los cuatro anteriores en el intercambio, incluidas las imágenes o videos, a WhatsApp en forma no desordenada, según ex ingenieros y moderadores de WhatsApp. Los sistemas automatizados luego alimentan estos tickets en colas "reactivas" para que los trabajadores contratados los evalúen.

La inteligencia artificial inicia un segundo conjunto de colas, las llamadas proactivas, escaneando datos no cifrados que WhatsApp recopila sobre sus usuarios y comparándolos con información sospechosa de la cuenta y patrones de mensajería(una nueva cuenta que envía rápidamente un gran volumen de chats es evidencia de spam),así como términos e imágenes que anteriormente se han considerado abusivos. Los datos no cifrados disponibles para el escrutinio son extensos. Incluye los nombres e imágenes de perfil de los grupos de WhatsApp de un usuario, así como su número de teléfono, foto de perfil, mensaje de estado, nivel de batería del teléfono, idioma y zona horaria, ID de teléfono móvil y dirección IP únicos, intensidad de la señal inalámbrica y sistema operativo del teléfono, como una lista de sus dispositivos electrónicos, cualquier cuenta relacionada con Facebook e Instagram, la última vez que usaron la aplicación y cualquier historial previo de violaciones.

Los revisores de WhatsApp tienen tres opciones cuando se les presenta un ticket para cualquier tipo de cola: no hacer nada, colocar al usuario en "vigilar" para un mayor escrutinio o prohibir la cuenta. (Los moderadores de contenido de Facebook e Instagram tienen más opciones, incluida la eliminación de publicaciones individuales. Es esa distinción, el hecho de que los revisores de WhatsApp no pueden eliminar elementos individuales, lo que la compañía cita como base para afirmar que los revisores de WhatsApp no son "moderadores de contenido").

Los moderadores de WhatsApp deben hacer juicios subjetivos, sensibles y sutiles, según muestran las entrevistas y los documentos examinados por ProPublica. Examinan una amplia gama de categorías, incluyendo "Informe de spam", "Mal actor cívico" (discurso de odio político y desinformación), "Amenaza creíble global de terrorismo", "CEI" (imágenes de explotación infantil) y "CP" (pornografía infantil). Otro conjunto de categorías aborda la mensajería y la conducta de millones de pequeñas y grandes empresas que usan WhatsApp para chatear con los clientes y vender sus productos. Estas colas tienen títulos tales como "prevalencia de suplantación de identidad comercial", "probables infractores de la política comercial" y "verificación comercial".

Los moderadores dicen que la orientación que reciben de WhatsApp y Accenture se basa en estándares que pueden ser simultáneamente arcanos e inquietantemente gráficos. Las decisiones sobre imágenes sexuales abusivas, por ejemplo, pueden basarse en una evaluación de si un niño desnudo en una imagen parece adolescente o prepúber, basada en la comparación de los huesos de la cadera y el vello púbico con un cuadro de índice médico. Un crítico recordó un video granulado en una cola de discurso político que mostraba a un hombre empuñando un machete sosteniendo lo que parecía ser una cabeza cortada: "Tuvimos que mirar y decir: '¿Es este un cadáver real o un cadáver falso?'"

A finales de 2020, los moderadores fueron informados de una nueva cola por presunta "sextorsión". Se definió en un memorando explicativo como "una forma de explotación sexual en la que las personas son chantajeadas con una imagen desnuda de sí mismas que han sido compartidas por ellas o por otra persona en Internet". El memorando dijo que los trabajadores revisarían los mensajes reportados por los usuarios que "incluyen palabras clave predefinidas que generalmente se usan en mensajes de sextorsión / chantaje".

El sistema de revisión de WhatsApp se ve obstaculizado por impedimentos, incluida la traducción de idiomas con errores. El servicio tiene usuarios en 180 países, con la gran mayoría ubicados fuera de los Estados Unidos. A pesar de que Accenture contrata trabajadores que hablan una variedad de idiomas, para los mensajes en algunos idiomas a menudo no hay un hablante nativo en el sitio para evaluar las quejas de abuso. Eso significa usar la herramienta de traducción de idiomas de Facebook, que los revisores dijeron que podría ser tan inexacta que a veces etiquetaba los mensajes en árabe como en español. La herramienta también ofrecía poca orientación sobre la jerga local, el contexto político o las insinuaciones sexuales. "En los tres años que he estado allí", dijo un moderador, "siempre ha sido horrible".

El proceso puede estar plagado de errores y malentendidos. Las compañías han sido señaladas por ofrecer armas a la venta cuando venden maquinillas de afeitar rectas. Los sujetadores se pueden vender, pero si el lenguaje de marketing se registra como "adulto", el vendedor puede ser etiquetado como un "negocio de orientación sexual" prohibido. Y una herramienta de traducción defectuosa inició una alarma cuando detectó niños para la venta y el sacrificio, que, tras un escrutinio más detallado, resultó involucrar a cabras jóvenes destinadas a ser cocinadas y comidas en comidas halal.

El sistema también se ve socavado por las fallas humanas de las personas que instigan los informes. Las quejas se presentan con frecuencia para castigar, acosar o bromear con alguien, según los moderadores. En mensajes de Brasil y México, un moderador explicó: "Tuvimos un par de meses en los que la IA estaba prohibiendo grupos a diequé a diecis y sin razón porque la gente se metía con sus amigos cambiando los nombres de sus grupos" y luego informándolos. "En el peor de los casos, probablemente estábamos recibiendo decenas de miles de ellos. Descubrieron algunas palabras que no le gustaban al algoritmo".

Otros informes no cumplen con los estándares de WhatsApp para una prohibición de cuenta. "La mayor parte no es violatorio", dijo uno de los moderadores. "Es contenido que ya está en Internet, y es solo gente tratando de meterse con los usuarios". Aún así, cada caso puede revelar hasta cinco mensajes no cifrados, que luego son examinados por los moderadores.


El juicio de la IA de WhatsApp es menos que perfecto, dicen los moderadores. "Había muchas fotos inocentes allí que no se les permitió estar allí", dijo Carlos Sauceda, quien dejó Accenture el año pasado después de nueve meses. "Podría haber sido una foto de un niño tomando un baño, y no había nada de malo en ello". Como dijo otro moderador de WhatsApp: "La mayoría de las veces, la inteligencia artificial no es tan inteligente".

La guía escrita de Facebook para los moderadores de WhatsApp reconoce muchos problemas, señalando que "hemos cometido errores y nuestras políticas han sido armadas por malos actores para que los buenos actores hayan sido prohibidos. Cuando los usuarios escriben consultas relacionadas con asuntos abusivos como estos, depende de WhatsApp responder y actuar (si es necesario) en consecuencia de manera oportuna y agradable". Por supuesto, si un usuario apela una prohibición que fue provocada por un informe de usuario, según un moderador, implica que un segundo moderador examine el contenido del usuario.


EN DECLARACIONES PÚBLICAS y en los sitios web de la compañía, Facebook Inc. es notablemente vago sobre el proceso de monitoreo de WhatsApp. La compañía no proporciona una contabilidad regular de cómo WhatsApp vigila la plataforma. La página de preguntas frecuentes de WhatsApp y el formulario de queja en línea señalan que recibirá "los mensajes más recientes" de un usuario que ha sido marcado. Sin embargo, no revelan cuántos mensajes no cifrados se revelan cuando se presenta un informe, o que esos mensajes son examinados por contratistas externos. (WhatsApp le dijo a ProPublica que limita esa divulgación para evitar que los infractores "jueguen" con el sistema).

Por el contrario, tanto Facebook como Instagram publican largos documentos de "Estándares comunitarios" que detallan los criterios que sus moderadores utilizan para vigilar el contenido, junto con artículos y videos sobre "los héroes no reconocidos que mantienen a Facebook a salvo" y anuncios en nuevos sitios de revisión de contenido. Los informes de transparencia de Facebook detallan cuántas piezas de contenido se "procesan" para cada tipo de violación. WhatsApp no está incluido en este informe.

Al tratar con los legisladores, los funcionarios de Facebook Inc. también ofrecen pocos detalles, pero están ansiosos por asegurarles que no permiten que el cifrado se interponga en el camino para proteger a los usuarios de imágenes de abuso y explotación sexual infantil. Por ejemplo, cuando los miembros del Comité Judicial del Senado interrogaron a Facebook sobre el impacto de cifrar sus plataformas, la compañía, en preguntas de seguimiento por escrito en enero de 2020, citó a WhatsApp al jactarse de que seguiría respondiendo a la aplicación de la ley. "Incluso dentro de un sistema cifrado", señaló una respuesta, "aún podremos responder a las solicitudes legales de metadatos, incluida la ubicación potencialmente crítica o la información de la cuenta ... Ya tenemos un servicio de mensajería encriptada, WhatsApp, que, a diferencia de otros servicios cifrados, proporciona una forma sencilla para que las personas denuncien abusos o problemas de seguridad".

Efectivamente, WhatsApp reportó 400,000 casos de posibles imágenes de explotación infantil al Centro Nacional para Niños Desaparecidos y Explotados en 2020, según su jefe, Cathcart. Eso fue diez veces más que en 2019. "Somos, con mucho, los líderes de la industria en encontrar y detectar ese comportamiento en un servicio cifrado de extremo a extremo", dijo.

Durante su entrevista en YouTube con el grupo de expertos australiano, Cathcart también describió la dependencia de WhatsApp en los informes de los usuarios y la capacidad de sus sistemas de inteligencia artificial para examinar la información de la cuenta que no está sujeta a cifrado. Cuando se le preguntó cuántos empleados de WhatsApp empleó para investigar las quejas de abuso de una aplicación con más de dos mil millones de usuarios, Cathcart no mencionó a los moderadores de contenido o su acceso a contenido cifrado. "Hay mucha gente en Facebook que ayuda con WhatsApp", explicó. "Si miras a las personas que trabajan a tiempo completo en WhatsApp, está por encima de mil. No entraré en el desglose completo del servicio al cliente, los informes de los usuarios, la ingeniería, etc. Pero es mucho de eso".

En respuestas escritas para este artículo, el portavoz de la compañía dijo: "Construimos WhatsApp de una manera que limita los datos que recopilamos al tiempo que nos proporciona herramientas para prevenir el spam, investigar amenazas y prohibir a aquellos involucrados en abusos, incluso en función de los informes de los usuarios que recibimos. Este trabajo requiere un esfuerzo extraordinario de expertos en seguridad y un valioso equipo de confianza y seguridad que trabaja incansablemente para ayudar a proporcionar al mundo una comunicación privada". El portavoz señaló que WhatsApp ha lanzado nuevas funciones de privacidad, que incluyen "más controles sobre cómo los mensajes de las personas pueden desaparecer" o ser vistos solo una vez. Agregó: "Basándonos en los comentarios que hemos recibido de los usuarios, estamos seguros de que las personas entienden que cuando hacen informes a WhatsApp recibimos el contenido que nos envían".

*II.@"Dec@@ving @s§rs" Ab*u+ £+rsonal _ri&ac%

DESDE EL MOMENTO Facebook anunció planes para comprar WhatsApp en 2014, los observadores se preguntaron cómo le iría al servicio, conocido por su ferviente compromiso con la privacidad, dentro de una corporación conocida por lo contrario. Zuckerberg se había convertido en una de las personas más ricas del planeta mediante el uso de un enfoque de "capitalismo de vigilancia": recopilar y explotar montones de datos de usuarios para vender anuncios digitales dirigidos. La incesante búsqueda de crecimiento y ganancias de Facebook ha generado una serie de escándalos de privacidad en los que fue acusado de engañar a clientes y reguladores.

Por el contrario, WhatsApp sabía poco sobre sus usuarios aparte de sus números de teléfono y no compartía ninguna de esa información con terceros. WhatsApp no publicó anuncios, y sus cofundadores, Jan Koum y Brian Acton, ambos ex ingenieros de Yahoo, fueron hostiles hacia ellos. "En cada compañía que vende anuncios", escribieron en 2012, "una parte significativa de su equipo de ingeniería pasa el día ajustando la minería de datos, escribiendo un mejor código para recopilar todos sus datos personales, actualizando los servidores que contienen todos los datos y asegurándose de que todos estén registrados y cotejados y cortados y empaquetados y enviados", y agregó: "Recuerde, cuando la publicidad está involucrada, usted el usuario es el producto". En WhatsApp, señalaron, "sus datos ni siquiera están en la imagen. Simplemente no estamos interesados en nada de eso".

Zuckerberg prometió públicamente en un discurso de apertura de 2014 que mantendría WhatsApp "exactamente igual". Declaró: "Absolutamente no vamos a cambiar los planes en torno a WhatsApp y la forma en que utiliza los datos de los usuarios. WhatsApp va a funcionar de forma completamente autónoma".

En abril de 2016, WhatsApp completó su adopción largamente planificada del cifrado de extremo a extremo, lo que ayudó a establecer la aplicación como una plataforma de comunicaciones preciada en 180 países, incluidos muchos donde los mensajes de texto y las llamadas telefónicas tienen un costo prohibitivo. Disidentes internacionales, denunciantes y periodistas también recurrieron a WhatsApp para escapar de las escuchas del gobierno.

Cuatro meses después, sin embargo, WhatsApp reveló que comenzaría a compartir datos de usuarios con Facebook, precisamente lo que Zuckerberg había dicho que no sucedería, una medida que despejó el camino para una serie de planes futuros de generación de ingresos. Los nuevos términos de servicio de WhatsApp dijeron que la aplicación compartiría información como los números de teléfono de los usuarios, fotos de perfil, mensajes de estado y direcciones IP con el fin de orientar los mensajes publicitarios, combatir el spam y el abuso y recopilar métricas. "Al conectar su número de teléfono con los sistemas de Facebook", explicó WhatsApp, "Facebook puede ofrecer mejores sugerencias de amigos y mostrarle anuncios más relevantes si tiene una cuenta con ellos".

Tales acciones estaban poniendo cada vez más a Facebook en la mira de los reguladores. En mayo de 2017, los reguladores antimonopolio de la Unión Europea multaron a la compañía con 110 millones de euros (unos 122 millones de dólares) por afirmar falsamente tres años antes que sería imposible vincular la información del usuario entre WhatsApp y la familia de aplicaciones de Facebook. La UE concluyó que Facebook había engañado "intencional o negligentemente" a los reguladores. Facebook insistió en que sus declaraciones falsas en 2014 no fueron intencionales, pero no impugnó la multa.

En la primavera de 2018, los cofundadores de WhatsApp, ahora ambos multimillonarios, se habían ido. Acton, en lo que más tarde describió como un acto de "penitencia" por el "crimen" de vender WhatsApp a Facebook, dio 50 millones de dólares a una fundación que respalda a Signal, una aplicación gratuita de mensajería cifrada que surgiría como rival de WhatsApp. (El fondo asesorado por donantes de Acton también ha dado dinero a ProPublica).

Mientras tanto, Facebook estaba bajo fuego por sus fallas de seguridad y privacidad como nunca antes. La presión culminó en una multa histórica de $ 5 mil millones por parte de la Comisión Federal de Comercio en julio de 2019 por violar un acuerdo anterior para proteger la privacidad del usuario. La multa fue casi 20 veces mayor que cualquier sanción anterior relacionada con la privacidad, según la FTC, y las transgresiones de Facebook incluyeron "engañar a los usuarios sobre su capacidad para controlar la privacidad de su información personal".

La FTC anunció que estaba ordenando a Facebook que tomara medidas para proteger la privacidad en el futuro, incluso para los usuarios de WhatsApp: "Como parte del programa de privacidad ordenado por orden de Facebook, que cubre WhatsApp e Instagram, Facebook debe realizar una revisión de privacidad de cada producto, servicio o práctica nueva o modificada antes de que se implemente, y documentar sus decisiones sobre la privacidad del usuario". Se requeriría que los oficiales de cumplimiento generen un "informe trimestral de revisión de privacidad" y lo compartan con la compañía y, previa solicitud, con la FTC.

Facebook aceptó la multa y la orden de la FTC. De hecho, las negociaciones para ese acuerdo fueron el telón de fondo, solo cuatro meses antes, para el anuncio de Zuckerberg de su nuevo compromiso con la privacidad.

En ese momento, WhatsApp había comenzado a usar Accenture y otros contratistas externos para contratar a cientos de revisores de contenido. Pero la compañía estaba ansiosa por no pisar su mensaje de privacidad más amplio, o asustar a su base de usuarios global. No dijo nada públicamente sobre su contratación de contratistas para revisar el contenido.


INCLUSO COMO Zuckerberg estaba promocionando el nuevo compromiso de Facebook Inc. con la privacidad en 2019, no mencionó que su compañía aparentemente estaba compartiendo más metadatos de sus usuarios de WhatsApp que nunca con la empresa matriz, y con la policía.


Para el oído lego, el término "metadatos" puede sonar abstracto, una palabra que evoca la intersección de la crítica literaria y la estadística. Para usar una analogía antigua y predé digital, los metadatos son el equivalente de lo que está escrito en el exterior de un sobre: los nombres y direcciones del remitente y el destinatario y el matasellos que refleja dónde y cuándo se envió por correo, mientras que el "contenido" es lo que está escrito en la carta sellada dentro del sobre. Lo mismo sucede con los mensajes de WhatsApp: el contenido está protegido, pero el sobre revela una multitud de detalles reveladores (como se señaló: marcas de tiempo, números de teléfono y mucho más).

Aquellos en los campos de la información y la inteligencia entienden cuán crucial puede ser esta información. Después de todo, eran metadatos que la Agencia de Seguridad Nacional estaba reuniendo sobre millones de estadounidenses no sospechosos de un delito, lo que provocó una protesta mundial cuando fue expuesto en 2013 por el ex contratista de la NSA Edward Snowden. "Los metadatos te dicen absolutamente todo sobre la vida de alguien", dijo una vez el ex asesor general de la NSA Stewart Baker. "Si tienes suficientes metadatos, realmente no necesitas contenido". En un simposio en la Universidad Johns Hopkins en 2014, el general Michael Hayden, ex director de la CIA y la NSA, fue aún más lejos:"Matamos a la gente basándonos en metadatos".

La policía de Estados Unidos ha utilizado los metadatos de WhatsApp para ayudar a encarcelar a las personas. ProPublica encontró más de una docena de casos en los que el Departamento de Justicia solicitó órdenes judiciales para los metadatos de la plataforma desde 2017. Estos representan una fracción de las solicitudes generales, conocidas como órdenes de registro de pluma (una frase prestada de la tecnología utilizada para rastrear números marcados por teléfonos fijos), ya que muchas más se mantienen fuera de la vista del público por orden judicial. Las solicitudes del gobierno de Estados Unidos de datos sobre mensajes salientes y entrantes de todas las plataformas de Facebook aumentaron en un 276% desde la primera mitad de 2017 hasta la segunda mitad de 2020, según las estadísticas de Facebook Inc. (que no desglosan los números por plataforma). La tasa de entrega de la compañía de al menos algunos datos en respuesta a tales solicitudes ha aumentado del 84% al 95% durante ese período.

No está claro exactamente qué han podido recopilar los investigadores del gobierno de WhatsApp, ya que los resultados de esas órdenes también a menudo se mantienen fuera de la vista del público. Internamente, WhatsApp llama a tales solicitudes de información sobre los usuarios "posibles pares de mensajes" o PMP. Estos proporcionan datos sobre los patrones de mensajería de un usuario en respuesta a las solicitudes de las agencias policiales de Estados Unidos, así como las de al menos otros tres países, el Reino Unido, Brasil e India, según una persona familiarizada con el asunto que compartió esta información bajo condición de anonimato. Las solicitudes de aplicación de la ley de otros países solo pueden recibir información básica del perfil del suscriptor.

Los metadatos de WhatsApp fueron fundamentales en el arresto y condena de Natalie "May" Edwards, ex funcionaria del Departamento del Tesoro de la Red de Aplicación de Delitos Financieros, por filtrar informes bancarios confidenciales sobre transacciones sospechosas a BuzzFeed News. La denuncia penal del FBI detalló cientos de mensajes entre Edwards y un reportero de BuzzFeed utilizando una "aplicación encriptada", que las entrevistas y los registros judiciales confirmaron que era WhatsApp. "Alrededor del 1 de agosto de 2018, aproximadamente seis horas después de que el bolígrafo Edwards entrara en funcionamiento, y el día después de que se publicara el artículo de Buzzfeed de julio de 2018, el teléfono celular Edwards intercambió aproximadamente 70 mensajes a través de la aplicación cifrada con el teléfono celular Reporter-1 durante un lapso de tiempo de aproximadamente 20 minutos entre las 12:33 a.m. y las 12:54 a.m.", escribió la agente especial del FBI Emily Eckstut en su queja de octubre de 2018. Edwards y el reportero usaron WhatsApp porque Edwards creía que la plataforma era segura, según una persona familiarizada con el asunto.

Edwards fue sentenciado el 3 de junio a seis meses de prisión después de declararse culpable de un cargo de conspiración y se reportó a prisión la semana pasada. El abogado de Edwards declinó hacer comentarios, al igual que representantes del FBI y el Departamento de Justicia.

WhatsApp ha minimizado durante años la cantidad de información no cifrada que comparte con las fuerzas del orden, limitando en gran medida las menciones de la práctica a un lenguaje repetitivo enterrado profundamente en sus términos de servicio. No mantiene rutinariamente registros permanentes de con quién se comunican los usuarios y con qué frecuencia, pero los funcionarios de la compañía confirmaron que activan dicho seguimiento a su propia discreción, incluso para investigaciones internas de filtraciones de Facebook, o en respuesta a solicitudes de aplicación de la ley. La compañía se negó a decirle a ProPublica con qué frecuencia lo hace.

La página de privacidad de WhatsApp asegura a los usuarios que tienen un control total sobre sus propios metadatos. Dice que los usuarios pueden "decidir si solo los contactos, todos o nadie pueden ver su foto de perfil" o cuándo abrieron por última vez sus actualizaciones de estado o cuándo abrieron la aplicación por última vez. Independientemente de la configuración que elija un usuario, WhatsApp recopila y analiza todos esos datos, un hecho que no se menciona en ninguna parte de la página.


EL CONFLICTO entre privacidad y seguridad en plataformas cifradas parece estar intensificándose. Las fuerzas del orden y los defensores de la seguridad infantil han instado a Zuckerberg a abandonar su plan de cifrar todas las plataformas de mensajería de Facebook. En junio de 2020, tres senadores republicanos introdujeron la "Ley de Acceso Legal a Datos Cifrados", que requeriría que las compañías de tecnología ayuden a proporcionar acceso incluso a contenido encriptado en respuesta a órdenes de aplicación de la ley. Por su parte, WhatsApp demandó recientemente al gobierno indio para bloquear su requisito de que las aplicaciones cifradas proporcionen "trazabilidad", un método para identificar al remitente de cualquier mensaje que se considere relevante para la aplicación de la ley. WhatsApp ha luchado contra demandas similares en otros países.


Otras plataformas cifradas adoptan un enfoque muy diferente para monitorear a sus usuarios que WhatsApp. Signal no emplea moderadores de contenido, recopila muchos menos datos de usuarios y grupos, no permite copias de seguridad en la nube y, en general, rechaza la noción de que debería vigilar las actividades de los usuarios. No presenta informes sobre explotación infantil al NCMEC.

Apple ha promocionado su compromiso con la privacidad como un punto de venta. Su sistema iMessage muestra un botón de "informe" solo para alertar a la compañía sobre sospechas de spam, y la compañía ha realizado solo unos pocos cientos de informes anuales a NCMEC, todos ellos originados por el escaneo de correo electrónico saliente, que no está cifrado.

Pero Apple recientemente tomó un nuevo rumbo y pareció tropezar en el camino. En medio de la intensificación de la presión del Congreso, en agosto la compañía anunció un nuevo y complejo sistema para identificar imágenes explotadoras de niños en las copias de seguridad de iCloud de los usuarios. Apple insistió en que el nuevo sistema no representa una amenaza para el contenido privado, pero los defensores de la privacidad acusaron a la compañía de crear una puerta trasera que potencialmente permite a los gobiernos autoritarios exigir búsquedas de contenido más amplias, lo que podría resultar en el ataque a disidentes, periodistas u otros críticos del estado. El 3 de septiembre, Apple anunció que retrasaría la implementación del nuevo sistema.

Aún así, es Facebook el que parece enfrentar el escepticismo más constante entre las principales plataformas tecnológicas. Está utilizando el cifrado para comercializarse como amigable con la privacidad, mientras dice poco sobre las otras formas en que recopila datos, según Lloyd Richardson, director de TI del Centro Canadiense para la Protección Infantil. "Toda esta idea de que lo están haciendo para la protección personal de las personas es completamente ridícula", dijo Richardson. "Estás confiando en que una aplicación propiedad y escrita por Facebook haga exactamente lo que están diciendo. ¿Confías en esa entidad para hacer eso?" (El 2 de septiembre, las autoridades irlandesas anunciaron que están multando a WhatsApp con 225 millones de euros, unos 267 millones de dólares, por no revelar adecuadamente cómo la compañía comparte la información de los usuarios con otras plataformas de Facebook. WhatsApp está impugnando el hallazgo).

El énfasis de Facebook en promover WhatsApp como un modelo de privacidad es evidente en el documento de marketing de diciembre obtenido por ProPublica. La presentación de "Brand Foundations" dice que fue el producto de un equipo global de 21 miembros en todo Facebook, que involucró media docena de talleres, investigación cuantitativa, "entrevistas con las partes interesadas" y "tormentas de ideas interminables". Su objetivo: ofrecer "una articulación emocional" de los beneficios de WhatsApp, "un conjunto de herramientas inspiradoras que nos ayude a contar nuestra historia" y un "propósito de marca para defender la profunda conexión humana que conduce al progreso". La plataforma de marketing identifica un sentimiento de "cercanía" como el "territorio emocional propio" de WhatsApp, diciendo que la aplicación ofrece "lo más cercano a una conversación en persona".

WhatsApp debería presentarse como "valiente", según otra diapositiva, porque está "tomando una postura fuerte y pública que no está motivada financieramente en cosas que nos importan", como defender el cifrado y combatir la desinformación. Pero la presentación también habla de la necesidad de "abrir la apertura de la marca para englobar nuestros futuros objetivos de negocio. Si bien la privacidad seguirá siendo importante, debemos adaptarnos a futuras innovaciones".

WhatsApp está ahora en medio de un gran impulso para ganar dinero. Ha experimentado un comienzo difícil, en parte debido a las amplias sospechas de cómo WhatsApp equilibrará la privacidad y las ganancias. Un plan anunciado para comenzar a publicar anuncios dentro de la aplicación no ayudó; fue abandonado a finales de 2019, pocos días antes de su lanzamiento. A principios de enero, WhatsApp dio a conocer un cambio en su política de privacidad, acompañado de un plazo de un mes para aceptar la política o quedar aislado de la aplicación. La medida provocó una revuelta, impulsando a decenas de millones de usuarios a huir a rivales como Signal y Telegram.

El cambio de política se centró en cómo se manejarían los mensajes y los datos cuando los usuarios se comunican con una empresa en la gama cada vez mayor de ofertas de WhatsApp Business. Las empresas ahora podrían almacenar sus chats con los usuarios y usar información sobre los usuarios con fines de marketing, incluida la orientación con anuncios en Facebook o Instagram.

Elon Musk tuiteó "Use Signal", y los usuarios de WhatsApp se rebelaron. Facebook retrasó durante tres meses el requisito de que los usuarios aprobaran la actualización de la política. Mientras tanto, luchó por convencer a los usuarios de que el cambio no tendría ningún efecto en las protecciones de privacidad para sus comunicaciones personales, con una versión ligeramente modificada de su garantía habitual: "WhatsApp no puede ver sus mensajes personales ni escuchar sus llamadas y Facebook tampoco". Al igual que cuando la compañía compró WhatsApp por primera vez años antes, el mensaje era el mismo: Confía en nosotros.

Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Actualización de seguridad para VMWare Center

Imagen
  Fecha de publicación:   26/10/2023 Nivel de peligrosidad:   CRÍTICO El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación del aviso de seguridad  VMSA-2023-0023  por parte del fabricante  VMware , que corrige  una vulnerabilidad  de severidad  crítica    en su producto   VMware Center . La explotación exitosa de la vulnerabilidad indicada, descubierta por el investigador Grigory Dorodnov, permitiría a un atacante remoto  ejecutar código arbitrario   en el sistema de destino. La base de datos del   NIST   no ha registrado esta vulnerabilidad, por lo tanto, no se le ha asignado una puntuación de acuerdo a la escala   CVSSv3 . Asimismo, la vulnerabilidad ha sido catalogada por   VMware   como   crítica . Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo reportado. Recursos afe
Leer más