Facebook Messenger añade alertas de seguridad, incluso en los chats encriptados

Durante el último año, los gobiernos de todo el mundo han presionado a Facebook para que abandone sus planes de encriptación de extremo a extremo en todas sus aplicaciones, con el argumento de que esta característica da cobertura a los delincuentes y, sobre todo, a los depredadores de niños. Hoy, Facebook ha puesto en marcha nuevas herramientas de detección de abusos y alertas en Messenger que pueden ayudar a responder a esas críticas, sin debilitar sus protecciones.

Facebook ha anunciado hoy nuevas funciones para Messenger que le alertarán cuando los mensajes parezcan provenir de estafadores financieros o de potenciales abusadores de menores, mostrando advertencias en la aplicación de Messenger que ofrecen consejos y sugieren bloquear a los infractores. La función, que Facebook empezó a desplegar en Android en marzo y ahora está llevando a iOS, utiliza el análisis de aprendizaje automático de las comunicaciones entre los más de mil millones de usuarios de Facebook Messenger para identificar comportamientos sospechosos. Pero lo más importante es que Facebook dice que la detección sólo se basará en los metadatos -no en el análisis del contenido de los mensajes- para no socavar el cifrado de extremo a extremo que ofrece Messenger en su función de conversaciones secretas. Facebook ha dicho que eventualmente extenderá ese cifrado de extremo a extremo a todos los chats de Messenger por defecto.

«Estamos introduciendo avisos de seguridad en Messenger que aparecerán en un chat y proporcionarán consejos para ayudar a las personas a detectar actividades sospechosas y tomar medidas para bloquear o ignorar a alguien cuando algo no parezca correcto», se lee en una publicación del blog del director de gestión de productos de Facebook para la privacidad y seguridad de Messenger, Jay Sullivan. «A medida que avanzamos hacia el cifrado de extremo a extremo, estamos invirtiendo en herramientas de preservación de la privacidad como esta para mantener a la gente a salvo sin acceder al contenido de los mensajes.»

«Creo que es una buena señal que estén experimentando aquí.»

Alex Stamos, ex jefe de seguridad de Facebook

Facebook no ha revelado muchos detalles sobre cómo funcionarán sus trucos de detección de abusos con aprendizaje automático. Pero un portavoz de Facebook dice a WIRED que los mecanismos de detección se basan únicamente en los metadatos: quién habla con quién, cuándo envían mensajes, con qué frecuencia y otros atributos de las cuentas pertinentes; básicamente todo lo que no sea el contenido de las comunicaciones, al que los servidores de Facebook no pueden acceder cuando esos mensajes están cifrados. «Podemos obtener señales bastante buenas que podemos desarrollar a través de modelos de aprendizaje automático, que obviamente mejorarán con el tiempo», dijo un portavoz de Facebook a WIRED en una llamada telefónica. Se negaron a compartir más detalles en parte porque la compañía dice que no quiere ayudar inadvertidamente a los malos actores a eludir sus salvaguardias.

La publicación del blog de la compañía ofrece el ejemplo de un adulto que envía mensajes o solicitudes de amistad a un gran número de menores como un caso en el que sus mecanismos de detección de comportamiento pueden detectar a un probable abusador. En otros casos, dice Facebook, sopesará la falta de conexiones entre los gráficos sociales de dos personas -signo de que no se conocen- o considerará los casos anteriores en los que los usuarios denunciaron o bloquearon a alguien como una pista de que está tramando algo turbio.

Una captura de pantalla de Facebook, por ejemplo, muestra una alerta que pregunta si el destinatario de un mensaje conoce a un posible estafador. Si dice que no, la alerta sugiere bloquear al remitente y ofrece consejos para no enviar nunca dinero a un desconocido. En otro ejemplo, la aplicación detecta que alguien está utilizando un nombre y una foto de perfil para hacerse pasar por un amigo del destinatario. Una alerta muestra entonces los perfiles del suplantador y del amigo real uno al lado del otro, sugiriendo al usuario que bloquee al estafador.

foto de facebook messanger
Fotografía: Facebook

Facebook tiene una excepción a su afirmación de que no mira el contenido de los mensajes: El mecanismo de denuncia de abusos de Messenger incluye desde hace tiempo una función que envía mensajes a Facebook cuando un usuario los marca. Eso le da a Facebook otra pista potencial sobre qué otro mal comportamiento podría tener ese remitente, pero generalmente no se considera una violación del cifrado de extremo a extremo, ya que el destinatario de un mensaje cifrado siempre puede optar por compartir la versión descifrada con un tercero.1

foto de facebook messanger
Fotografía: Facebook

Por ahora, la función de avisos de seguridad sólo sugerirá explícitamente bloquear o ignorar un posible abuso. (Los usuarios pueden seguir informando de un comportamiento abusivo con el método habitual de tocar el nombre del remitente y luego «Algo va mal», y a continuación especificar lo sucedido). «Queríamos dar a la gente una acción inmediata, y bloquear es la acción más inmediata que alguien puede tomar para evitar el daño», dice un portavoz de Facebook. «Informar es algo que estamos estudiando llevar a la función también».

La adición de Facebook Messenger de alertas de abuso basadas sólo en los metadatos es un «buen comienzo», dice Alex Stamos, el ex jefe de seguridad de Facebook. Pero sostiene que la empresa podría -y debería- hacer más. Stamos, que ahora dirige el Observatorio de Internet de Stanford, ha argumentado que Facebook, Google, Microsoft, Snap y otros deberían vigilar los signos de mal comportamiento en los dispositivos de los usuarios.

«Creo que deberían tener el lado del cliente mirando el contenido. Y una vez que lo hagan, deberían incitar a la gente a poder denunciarlo», afirma Stamos. Ese análisis de contenido en el dispositivo y la presentación de informes permiten a Facebook encontrar a los malos actores más rápido que el mero escaneo de metadatos, dice Stamos, al tiempo que se mantiene el cifrado de extremo a extremo.

Stamos también señala que si Facebook enfatizara la presentación de informes en lugar del mero bloqueo en sus alertas a, esos informes podrían crear pruebas que las fuerzas del orden podrían utilizar contra los delincuentes graves. «No vas a arrestar a alguien porque tus datos muestren que intentó ‘hacerse amigo’ de un grupo de chicas adolescentes», añade Stamos. «Mientras que si alguien realmente envía una solicitud de desnudos a un niño, eso es probablemente ilegal en la mayoría de los casos. Eso podría utilizarse para obtener una orden de registro y posiblemente procesar a la persona. Lo que realmente quieres es el contenido de las comunicaciones, y la mejor manera de hacerlo en el cifrado de extremo a extremo es simplemente animar al destinatario a informar de la conversación».

Un portavoz de Facebook, preguntado por esa posibilidad de análisis de contenido del lado del cliente, dice que la medida «no se consideró y no es necesaria para esta función de seguridad».

Facebook, junto con un montón de otras empresas tecnológicas, se ha visto sometido a una creciente presión por parte de la administración Trump y el Congreso para construir mecanismos en el cifrado que permitan el acceso de las fuerzas de seguridad a las comunicaciones y los datos almacenados. En marzo, se presentó un proyecto de ley llamado EARN IT Act que podría prohibir en la práctica el cifrado fuerte de extremo a extremo si se aprueba en su forma actual. Y esta misma semana, el fiscal general William Barr criticó a Apple por no ayudar a desencriptar un par de iPhones antiguos que pertenecían a Mohammed Saeed Alshamrani, vinculado a Al Qaeda, que mató a tres personas en un tiroteo masivo el pasado diciembre.

Facebook argumenta que sus nuevos avisos de seguridad no son una respuesta a esa presión política; que, de hecho, han estado en proceso desde incluso antes de que Mark Zuckerberg anunciara la lenta transición de la compañía a un sistema de mensajería unificado y cifrado de extremo a extremo el año pasado.

Pero Stamos argumenta que exactamente este tipo de herramienta es necesaria para apaciguar a los críticos del cifrado, y que todavía puede ser necesario y posible hacer más sin comprometer las garantías fundamentales de privacidad del cifrado. «Creo que es una buena señal que estén experimentando aquí», dice Stamos. «Es un reconocimiento de que creen que tienen la responsabilidad de abordar algunas de las desventajas, lo que creo que no es sólo moralmente correcto. Es un predicado de la supervivencia del cifrado de extremo a extremo.»

1Actualizado el 21/5/2020 a las 2pm EST para aclarar cómo funciona el proceso de información de Facebook para las conversaciones cifradas.

More Great WIRED Stories

  • How a Chinese AI giant made chatting—and surveillance—easy
  • The confessions of Marcus Hutchins, the hacker who saved the internet
  • We’ll learn to sing together when we’re far apart
  • 27 days in Tokyo Bay: Lo que ocurrió en el Diamond Princess
  • Consejos y herramientas para cortarte el pelo en casa
  • 👁 La IA descubre un posible tratamiento para el Covid-19. Además: conoce las últimas noticias de AI
  • 🏃🏽♀️ ¿Quieres las mejores herramientas para estar sano? Echa un vistazo a las selecciones de nuestro equipo de Gear sobre los mejores rastreadores de fitness, la ropa para correr (incluidas las zapatillas y los calcetines) y los mejores auriculares

.

More Great WIRED Stories

  • How a Chinese AI giant made chatting—and surveillance—easy
  • The confessions of Marcus Hutchins, the hacker who saved the internet
  • We’ll learn to sing together when we’re far apart
  • 27 days in Tokyo Bay: What happened on the Diamond Princess
  • Tips and tools for cutting your hair at home
  • 👁 AI uncovers a potential Covid-19 treatment. Plus: Get the latest AI news
  • 🏃🏽‍♀️ Want the best tools to get healthy? Check out our Gear team’s picks for the best fitness trackers, running gear (including shoes and socks), and best headphones

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *