A Facebook no le preocupa tu seguridad (y al FBI tampoco)

Si vamos a hablar de Facebook, creo que no está de más empezar recordando el Evangelio de Mateo: Guardaos de los falsos profetas, que vienen a vosotros con vestidos de ovejas, pero por dentro son lobos rapaces. Creo, y lo siento si a alguien le parece una apreciación un tanto dura, que las palabras del apóstol definen a la perfección cómo debemos actuar frente a la red social. De las reservas que debemos tener siempre que, por una razón o por tengamos que emplear Facebook.

Hace solo unos días hablábamos en MuyComputer del precio que puede empezar a pagar la red social por su política con respecto a las fake news y la propagación de los mensajes de odio en Internet. No siempre comparto las opiniones de Enrique Dans, pero sin duda su Parar la cadena del odio me pareció tremendamente acertado, amén de profusamente documentado. Creo que no merece la pena abundar mucho más en este punto, solo reseñarlo como introducción a otra actitud de Facebook que me parece igualmente reprochable, y que no debe pasar desapercibida.

Todo empieza cuando, hace unos años, Facebook y la policía empiezan a trabajar conjuntamente para dar caza a un depredador sexual, un anónimo que se dedica a acosar y extorsionar a adolescentes, obligándolas a enviar fotos de ellas mismas desnudas, bajo amenaza de asesinarlas a ellas y a sus amigos. Llegado un punto de la investigación, Facebook contrata los servicios de una empresa de ciberseguridad, ¿para qué? Para que desmenuce las tripas de Tails, en busca de algún agujero de seguridad que permita identificar a Brian Kil, seudónimo del depredador en la red.

Si no conoces Tails, se trata de un sistema operativo basado en Debian y especialmente diseñado para aquellas personas que ponen su privacidad por delante de todo. Uno de sus puntos fuertes es que todo el tráfico de Internet se efectúa a través de TOR. Una red que, ya lo sabes, hace que el usuario pase a ser totalmente anónimo. Una función muy valiosa, claro, para perfiles como el de Brian Kil, sí, pero que también es empleada por disidentes políticos en regímenes totalitarios, filtradores que quieren denunciar corrupciones y corruptelas, etcétera. Y, por supuesto, para aquellos usuarios que simplemente desean usar Internet sin que la mitad de los gigantes de Internet y las agencias de seguridad lo analicen permanentemente.

Facebook y la vulnerabilidad de día cero

La investigación encargada por Facebook a la compañía de seguridad termina por encontrar una vulnerabilidad, nunca antes detectada, que afecta a GNOME Videos (antiguo Totem), reproductor de vídeo del entorno de escritorio Gnome incluido en Tails. Una vulnerabilidad que permite averiguar la dirección IP real del usuario de Tails. Los investigadores «entregan» la vulnerabilidad a Facebook quien, a su vez, la comparte con el FBI. Y todos juntos, sacando partido de ese conocimiento, descubren que Kil es, en realidad, Buster Hernández. La operación es un éxito y, en ese punto, solo cabe felicitar a todas las partes implicadas.

Bueno, en realidad sí que cabe esperar algo más, y es que una vez que se ha empleado la vulnerabilidad de día cero para cazar al depredador, siguiendo la política de responsabilidad común en estos casos, deberían haberse puesto en contacto con los responsables de Tails y de GNOME Videos, informarles de la vulnerabilidad y hacer pública la existencia de la misma, pero sin revelar su naturaleza, hasta que los desarrolladores solucionen el problema, y sus usuarios tengan tiempo de actualizarse. Este es el procedimiento común, este es el procedimiento correcto.

La investigación concluyó en 2017. Hasta la semana pasada ni Facebook ni el FBI informaron a los desarrolladores. Y preguntado el FBI por si había empleado esa vulnerabilidad en otras investigaciones, la respuesta fue que no había respuesta. Es una agencia de investigación, puedo llegar a entenderlo. Al fin y al cabo necesitan herramientas para llevar a cabo sus investigaciones, y no habrían incurrido en delito alguno al hacerlo. No creo que sea la mejor manera de actuar, pero repito que lo entiendo. No me entra en absoluto en la cabeza que Facebook actúe de igual modo.

Facebook es una empresa tecnológica, y es una empresa que depende de sus usuarios, así que debería protegerlos y cuidarlos. Sin embargo, cuando tiene conocimiento de una vulnerabilidad de día cero durante tres años, ¡tres años!, y no hace nada al respecto para que sea solventada, entonces lo que está haciendo es demostrar, más allá de toda duda razonable, que la seguridad y la privacidad de sus usuarios es algo que no le importa en absoluto. Que es algo que muchos ya sospechábamos con anterioridad, pero que ahora nos queda cristalinamente claro.

Los procedimientos estandarizados existen por algo, no son fruto del azar. Cuando un investigador de seguridad detecta una vulnerabilidad, actúa de la manera que lo hace para proteger a los usuarios que se pueden ver afectados por la misma. Es una cuestión de ética y de principios. Si hay un agujero de seguridad, debe ser tapado lo antes posible, idealmente antes de que otras personas con peores intenciones puedan llegar al mismo punto y explotar la vulnerabilidad para, no sé, llevar a cabo acciones maliciosas, identificar y «silenciar» a disidentes, identificar a personas que filtran los trapos sucios de empresas y administraciones públicas…

Facebook, con información sobre la vulnerabilidad de día cero guardada en el cajón durante tres años ha puesto otros intereses, que están todavía por aclarar, por delante de la privacidad y la seguridad de sus usuarios. Sí, esos usuarios cuyos datos ha conseguido convertir en oro. No ha respetado las convenciones que existen, desde hace años, en el mundo de la seguridad y, una vez más, ha decidido mirar hacia otro lado. Y, una vez más, su mal hacer ha terminado por saberse y, espero, debe tener consecuencias. Sabía que había un agujero en el suelo, pero ni ha avisado, ni lo ha señalizado ni se ha molestado en taparlo. ¿Para qué? En realidad a Facebook le da igual.

Y digo que le da igual porque, obviamente, sus responsables saben qué es una vulnerabilidad de día cero (han comprado una, seguro que en el manual de instrucciones venía una descripción, puede que hasta con dibujitos y todo…), saben lo peligrosas que pueden llegar a ser, saben que no son los únicos que tienen conocimiento de su existencia (sumemos, como mínimo, a la empresa que lo encontró y al FBI) y en tres años no han hecho nada.

A partir de aquí puedo escuchar mil declaraciones por parte del personal de Facebook afirmando que claro que les preocupa la seguridad de sus usuarios. Claro que sí, y su privacidad también, y hasta que puedan hacer tres comidas saludables al día y que después se cepillen los dientes. Pueden decir lo que quieran, que mi opinión con respecto a lo que tengan que decir vuelve a la palabra del Apóstol Mateo, y sin abandonar el versículo que cité al principio: Por sus frutos los conoceréis. ¿Acaso se recogen uvas de los espinos, o higos de los abrojos?

 

Con información de: Vice / Motherload

La entrada A Facebook no le preocupa tu seguridad (y al FBI tampoco) es original de MuySeguridad. Seguridad informática.