Facebook ha sido objeto de escrutinio por su presunta implicación en el robo de datos de VPN. El analista tecnológico HaxRob, a través de su análisis en profundidad, sacó a la luz el asunto, mientras que la periodista tecnológica Naomi Brockwell lo comentó con más detalle, revelando una compleja red de interceptación y manipulación de datos de usuarios.
La investigación de HaxRob desveló que Facebook, aprovechando su adquisición de Onavo, llevó a cabo prácticas que potencialmente podrían interceptar y analizar los datos de los usuarios transmitidos a través de otras aplicaciones.
El supuesto robo de datos de Facebook a través de VPN
Mediante la integración de certificados raíz en los dispositivos móviles de los usuarios, Facebook supuestamente podría supervisar e interceptar el tráfico de una miríada de aplicaciones. La polémica se centra en Onavo. Antes de su retirada de las tiendas de aplicaciones, ofrecía aparentemente servicios de VPN con el pretexto de la seguridad del usuario.
Sin embargo, las descripciones archivadas y las funcionalidades de la aplicación insinúan un propósito más oscuro. La presentación judicial señaló:
“Este código, que incluía un “kit” del lado del cliente que instalaba un certificado “raíz” en los dispositivos móviles de los usuarios de Snapchat, también incluía un código personalizado del lado del servidor basado en “squid” a través del cual los servidores de Facebook creaban certificados digitales falsos para hacerse pasar por servidores analíticos de confianza de Snapchat, YouTube y Amazon para redirigir y descifrar el tráfico seguro de esas aplicaciones para el análisis estratégico de Facebook.”
Leer más: Conoce las estafas de criptomonedas más notables de la historia
Este tipo de acciones no solo vulneran la confianza de los usuarios, sino que también se saltan los límites del uso ético de la tecnología, como señalaba HaxRob: “La app conseguía establecer conectividad de vuelta a los servidores de Facebook, a pesar de presentarse como una herramienta para la seguridad de los usuarios.”
Los comentarios de Naomi Brockwell refuerzan aún más la gravedad de la situación. Ella describió las acciones de Facebook como un “hack man-in-the-middle”, accediendo al tráfico SSL y a los datos sensibles de los usuarios sin consentimiento:
“Parece que Facebook realizó un ataque de intermediario utilizando su servicio VPN para robar datos de otras aplicaciones. Esto les permitió ver todo el tráfico SSL, creando un certificado digital falso para hacerse pasar por Snapchat, YouTube, Amazon, etc.”
Facebook: El robo de datos vía VPN involucra a más empresas
La disección técnica de las operaciones de la aplicación Onavo revela alarmantes solicitudes de permisos, incluyendo capacidades de superposición sobre otras aplicaciones, acceso al uso histórico y eliminado de aplicaciones, y la gestión de llamadas telefónicas.
Con el pretexto de mejorar la seguridad de los usuarios, estos permisos hacen saltar las alar mas sobre el alcance de los datos a los que Facebook podría acceder y manipular. Desde un punto de vista crítico, la práctica de instalar certificados para interceptar el tráfico de las apps, aunque dificultada por las mejoras de seguridad de Android, pone de manifiesto hasta qué punto pueden llegar las empresas para recopilar datos de los usuarios.
Leer más: ¿Qué es Damus? La red social descentralizada basada en Nostr
La exposición de tales prácticas, incluida la posible recopilación de los números IMSI de los abonados móviles. Además, los amplios datos telemétricos acumulados a partir de los 10 millones de descargas de la aplicación. Reflejan la necesidad imperiosa de una estricta supervisión reglamentaria.
Este incidente no es aislado. Se hace eco de multas anteriores, como la sanción de 20 millones de dólares impuesta por la ACCC de Australia. Ello pone de manifiesto la preocupación mundial por las prácticas de tratamiento de datos de Facebook.
¿Tiene algo que decir sobre Facebook, redes sociales u otro tema? Escríbanos o únase a la discusión en nuestro canal de Telegram. También puede encontrarnos en Facebook o X (Twitter).
Trusted
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
