Páginas

lunes, 3 de junio de 2019

Los empleados de Snapchat han estado espiando sus usuarios

Artículo publicado originalmente por Motherboard Estados Unidos.

Varios departamentos de la famosa red social Snapchat han elaborado herramientas específicas para acceder a los datos de los usuarios, y diversos empleados se han aprovechado de ese privilegio para espiar a los usuarios. Motherboard hizo una investigación.

Dos empleados informaron que varios de sus excompañeros habían hecho un mal uso del privilegio de acceso a los datos de los usuarios de Snapchat. Estas fuentes, junto con los testimonios de dos antiguos trabajadores, otro aún en plantilla y varios correos electrónicos internos de la empresa que consiguió Motherboard, hicieron mención a herramientas internas que permitían a los empleados de Snapchat acceder a datos de los usuarios, incluyendo la ubicación, los Snaps guardados y datos personales como números de teléfono y direcciones de correo electrónico. Los Snaps y las fotos son videos que, si no se guardan, suelen desaparecer después de que la persona en cuestión los reciba (o después de 24 horas si se trata de una historia publicada en el perfil de un usuario).

Motherboard recogió distintas fuentes anónimas en esta historia para hablar cándidamente sobre los procedimientos de Snapchat.

A pesar de que según distintas fuentes Snapchat ha introducido controles de acceso sumamente estrictos y se toma muy en serio el abuso y la privacidad del usuario, las noticias ponen de manifiesto algo que los usuarios pueden pasar por alto: detrás de los productos que utilizamos a diario hay personas con acceso a información altamente confidencial de los clientes, ya que la necesitan para desempeñar algunas de las funciones indispensables del servicio. Pero, si no se adopta la protección adecuada, estas mismas personas podrían hacer un uso indebido de la información privada de los perfiles de los usuarios.



Una de las herramientas que permiten acceder a la información del usuario es SnapLion, según diversas fuentes y mails. Originalmente, esta herramienta se utilizaba para almacenar la información de los usuarios en caso de que requerimiento por parte de las fuerzas de seguridad, ya fueran órdenes judiciales o citaciones, según señalan dos antiguos empleados.Ambos nos informaron de que SnapLion es un juego de palabras con el acrónimo que se usa para referirse a las fuerzas de seguridad (law enforcement officers o LEO en inglés), al que se añade una referencia al personaje de animación Leo the Lion. El equipo que se encarga del acoso y el spam en Snapchat, según uno de los antiguos empleados y uno en plantilla actualmente, utiliza la herramienta para combatir el acoso o la intimidación por parte de los otros usuarios en la plataforma. Un mail interno de Snapchat obtenido por Motherboard nos dice que el departamento de operaciones con los clientes (“Customer Ops”) tiene acceso a SnapLion. El personal de seguridad también tiene acceso, según un empleado actual. La existencia de esta herramienta no se denunció previamente.

SnapLion proporciona “las llaves del reino” según uno de los antiguos empleados que describieron el uso indebido del acceso a la información de los usuarios.

*

Muchos de los 186 millones de usuarios de Snapchat usan esta aplicación debido a la corta vida de los vídeos y las fotos que los usuarios se envían entre ellos pero, sin embargo, puede que no sean conscientes del tipo de datos que Snapchat puede almacenar. En 2014, la Comisión Federal de Comercio impuso una multa a Snapchat por no revelar que la empresa recogió, almacenó y emitió los datos de geolocalización de los usuarios.

La guía para las fuerzas de seguridad de Snapchat es accesible públicamente, y se puede solicitar la información facilitada por los usuarios que está al alcance de la compañía, incluyendo el número de teléfono vinculado a la cuenta, los datos de la ubicación (como cuando el usuario activa las opciones de su teléfono móvil para permitirle a Snapchat acceder a ella), los metadatos de los mensajes, que pueden mostrar con quién se habla y cuándo se hace y, en algunos casos, contenido limitado de Snapchat como los “Recuerdos” de los usuarios, que son versiones guardadas de los efímeros Snaps, igual que otras fotos y vídeos que los usuarios acumulan.

Un mail interno que consiguió Motherboard nos muestra a un empleado utilizando SnapLion de manera legítima para buscar una dirección de correo electrónico vinculada a una cuenta, fuera de un contexto relacionado con las fuerzas de seguridad. Un segundo mail nos muestra cómo se puede utilizar dicha herramienta en investigaciones contra el abuso infantil.

Las aplicaciones como SnapLion forman parte de un estándar de la industria en el mundo de la tecnología, ya que las compañías necesitan tener el acceso a los datos de los usuarios para diversos fines legítimos. A pesar de que Snapchat informó que cuenta con diversas herramientas que la compañía utiliza para ayudar a elaborar los informes de los clientes, cumplir con las leyes y fortalecer los términos y políticas del sistema, los empleados utilizaron el acceso a los datos para razones ilegítimas como por ejemplo para espiar a los usuarios, según informaron dos antiguos empleados.

Uno de los antiguos empleados dijo que el mal uso del acceso a los datos en Snapchat ha tenido lugar “unas cuantas veces”, y según esta misma fuente y la de otro antiguo empleado especificaron que numerosas personas llevaron a cabo ese uso indebido. Otro de los mails que consiguió Motherboard nos muestra a empleados discutiendo sobre la amenaza interna y el acceso a los datos, y de cómo necesitan combatirse.

Motherboard no fue capaz de verificar exactamente cómo ocurrió el uso indebido de los datos o que procedimiento utilizaron los empleados de Snapchat para acceder a los datos de los usuarios .

Un portavoz de Snapchat escribió una declaración vía mail que decía: “Proteger la privacidad es algo primordial para Snapchat, almacenamos muy pocos datos de los usuarios, y tenemos políticas sólidas y control del límite del acceso a los datos que almacenamos, el acceso no autorizado de cualquier tipo es una clara violación de los estándares de conducta del negocio de la compañía y, si lo detectamos, supondrá el despido inmediato”.

Al preguntar si se había dado este mal uso del acceso, uno de los antiguos empleados que se ocupaba de la seguridad de la información en Snapchat dijo “no puedo comentarlo, siempre hemos tenido buenos sistemas, de hecho, es probable que los tuviésemos antes que cualquier otra empresa emergente”. El antiguo empleado no negó que sus antiguos compañeros se aprovechasen de su acceso a los datos, y dejó de contestar a los mensajes cuando le preguntamos si este uso indebido del acceso a la información había ocurrido.

“El registro no es perfecto”

Hace unos años, uno de los antiguos empleados creía que SnapLion no tendría un nivel satisfactorio de registro para rastrear los datos a los que habían accedido los empleados. En términos generales, el registro es el proceso que lleva a cabo una compañía para rastrear quién usa el sistema y los datos a los cuales tiene acceso para asegurarse de que se está utilizando de manera apropiada. La empresa implementó una mayor vigilancia, añadió el antiguo empleado. Snapchat dijo que actualmente se aplica un una monitorización del acceso a los datos de los usuarios.

“El registro no es perfecto”, dijo el segundo antiguo empleado que nos describió el uso indebido del acceso.

Snapchat comentó que limita el acceso a las herramientas únicamente a aquellos que lo requieren, pero SnapLion ya no es una herramienta destinada a ayudar a las fuerzas de la seguridad, sino que ahora se utiliza de manera más general en toda la empresa. Un antiguo empleado que trabajaba con SnapLion dijo que la herramienta sirve para resetear las contraseñas de las cuentas que fueron hackeadas y para “otras gestiones de los usuarios”.

Un empleado actual enfatizó en el hecho de que la empresa está mejorando en cuanto a la privacidad de los usuarios, y dos antiguos empleados destacan el control que tiene Snapchat para proteger dicha privacidad. Snapchat introdujó una encriptación de principio a fin en enero de este año.

En la industria de la tecnología, existen casos de miembros de la comunidad que hacen un uso del acceso a los datos de los usuarios para fines ilegítimos. Motherboard informó que Facebook ha despedido a múltiples empleados por usar el privilegio de poder acceder a la información de los usuarios para stalkear a sus exs. Uber presumió en las fiestas de su sistema ‘God view’, que mostraba la ubicación a tiempo real de los usuarios y de los conductores, y los empleados de Uber han utilizado este sistema para espiar a sus exparejas, a políticos y a famosos.

“Los usuarios comunes deben entender que nada de lo que hacen está encriptado porque, en cierto modo, todo está al alcance de los humanos”. Comentó en una llamada Alex Stamos, el antiguo director de Seguridad de la Información de Facebook, que ahora es un profesor adjunto en Stanford, al hablar de la amenaza que supone que las personas con información privilegiada hagan un uso indebido de estos datos en las grandes empresas tecnológicas en general.

“No es algo que ocurra de manera excepcional”, añadió Stamos en relación al mal uso del acceso a los datos de los usuarios.

Leonie Tanczer, un profesor de Seguridad Internacional y Tecnologías Emergentes de la Universidad College de Londres, dijo en un chat en línea que este episodio “hace eco del hecho de que no percibimos a las empresas como entes monolíticos, sino que pensamos en ellas como individuales que tienen sus propios defectos y prejuicios. Por consiguiente, es importante que el acceso a los datos de los usuarios sea regulado de manera estricta e internamente, y es necesario que haya una supervisión adecuada, así como mecanismos de control”.

Datos adicionales proporcionados por Lorenzo Franceschi-Bicchierai.

Joseph Cox https://ift.tt/eA8V8J

No hay comentarios:

Publicar un comentario