Un nuevo escándalo de privacidad salpica a Instagram: un socio "de confianza" ha rastreado las localizaciones de millones de usuarios y ha guardado en secreto sus stories

• Una popular startup de San Francisco ha estado guardando lo que parecen ser millones de historias de usuarios de Instagram y rastreando sus localizaciones.

• La empresa de marketing Hyp3r ha estado recopilando enormes cantidades de datos de la aplicación propiedad de Facebook y los ha utilizado para crear perfiles detallados de los movimientos e intereses de las personas.

• La situación pone de manifiesto que la multinacional de Mark Zuckerberg sigue luchando por proteger los datos de los usuarios y supervisar a los desarrolladores que acceden a su plataforma, más de un año después de que el escándalo de Cambridge Analytica revelara importantes fallos de privacidad.

• Instagram ha emitido ahora a Hyp3r un cese y desistimiento, lo ha echado de su plataforma, y ha realizado cambios en su sistema para proteger los datos de los usuarios.

Una combinación de errores de configuración y una negligente supervisión por parte de Instagram permitió a uno de los socios publicitarios de la red social malversar grandes cantidades de datos de usuarios públicos y crear registros detallados del paradero físico, sus biografías personales y fotos que se intentaban desvanecer después de 24 horas.

Los perfiles, que fueron reunidos y ensamblados por la empresa de marketing Hyp3r, con sede en San Francisco, se utilizaron con una clara violación de las reglas de la red social. Lo peor es que todo esto ocurrió bajo las narices de la compañía durante el año pasado, incluso, Facebook los consideraba uno de sus socios favoritos.

El miércoles, Instagram envió a Hyp3r una carta de cese y desistimiento después de que se le presentaran las conclusiones de Business Insider y confirmó que la organización rompió sus reglas.

"Las acciones de HYP3R no fueron sancionadas y violan nuestras políticas. Como resultado, los hemos eliminado de nuestra plataforma. También hemos hecho un cambio de producto que debería ayudar a evitar que otras compañías tengan acceso a las páginas de ubicación públicas de esta manera", dijo un portavoz en una declaración.

La existencia de los perfiles es un claro indicio de que, más de un año después de las denuncias de que los datos de los usuarios de Facebook fueron explotados por Cambridge Analytica para alimentar campañas publicitarias políticas divisorias, las luchas de la compañía para bloquear la información personal de los usuarios no solo persisten, sino que también se extienden más allá de la aplicación central de la plataforma. Instagram, que es propiedad de Facebook pero que funciona como un negocio en su mayor parte independiente, ha sido aislado en gran medida de la reacción y el escrutinio de la privacidad que ha sacudido a su empresa matriz.

Pero los datos contenidos en la fugaz actividad de Instagram de la gente, desde fotos de las vacaciones familiares hasta imágenes de los aperitivos de los restaurantes, puede proporcionar un valioso recurso para una gran variedad de actores externos, que pueden reutilizar la información de formas que los usuarios nunca esperaron ni acordaron.

Leer más: Las 6 razones por las que la multa de 5.000 millones a Facebook no es una mala noticia para la compañía

Business Insider habló con varios exempleados de Hyp3r para conocer sus prácticas y revisó documentos públicos y materiales de marketing que describen sus capacidades.

El volumen total de datos de Instagram que Hyp3r ha obtenido no está claro, aunque la firma ha dicho públicamente que tiene "un conjunto de datos único de cientos de millones de los consumidores de mayor valor en el mundo", y las fuentes dijeron que más del 90% de sus datos provenían de la red social. Ingiere más de un millón de publicaciones de la plataforma al mes, dijeron las fuentes.

El copiado de datos es un problema persistente en toda la web para las plataformas abiertas. Instagram no es el único servicio que se ha visto afectado a lo largo de los años, y es casi seguro que Hyp3r no es el único negocio que almacena sus datos. Pero la naturaleza de la actividad de Hyp3r plantea importantes cuestiones sobre el alcance de la diligencia debida que la red social de fotografía y vídeo y la empresa matriz Facebook llevan a cabo sobre los socios que utilizan su plataforma, así como sobre sus propios procedimientos para proteger los datos de los usuarios.

"Para que [Instagram] dejara estos puntos finales abiertos y permitiera a la gente llegar a esto de una manera más o menos indirecta, pensé que era una especie de hipocresía", dijo un exempleado de Hyp3r. Se necesita muy poco esfuerzo para que la red social proteja los datos de localización a los que accede Hyp3r, dijeron: "Por qué no lo han hecho sigue siendo un misterio".

Hyp3r negó haber violado las reglas de Instagram, argumentando esencialmente que el acceso a los datos públicos en la red social de esta manera es legítimo y justificable, y diciendo que confiaba en que cualquier problema con la compañía se resolvería en breve.

El CEO Carlos García dijo en una declaración enviada por correo electrónico: "HYP3R es, y siempre ha sido, una compañía que permite una comercialización auténtica y satisfactoria que cumple con las regulaciones de privacidad del consumidor y los Términos de Servicios de la red social. No vemos ningún contenido o información que no pueda ser accedido públicamente por todos en línea".

Una plataforma de marketing basada en la localización

Hyp3r, fundada en 2015, se describe a sí misma como "una plataforma de marketing basada en la localización que ayuda a las empresas a desbloquear datos geosociales para adquirir y captar clientes de alto valor".

En términos más simples: Hyp3r es una empresa de marketing que realiza un seguimiento de los mensajes de redes sociales etiquetados con ubicaciones en el mundo real. A continuación, permite a sus clientes interactuar directamente con esos mensajes a través de sus herramientas y utiliza esos datos para dirigirse a los usuarios de las redes sociales con anuncios relevantes. Por ejemplo, alguien que visita un hotel y publica el nombre puede ser atacado más tarde con ofertas de uno de los competidores del hotel.

Para proporcionar algunas de estas capacidades, Hyp3r hizo uso no autorizado de los datos de Instagram de tres maneras clave:

1. Se aprovechó de un fallo de seguridad de la plataforma, lo que le permitió concentrarse en lugares específicos, como hoteles y gimnasios, y absorber todas las publicaciones públicas realizadas desde esos lugares.

2. En estos lugares, guardaba sistemáticamente las historias públicas de Instagram de los usuarios —un tipo de contenido diseñado para desaparecer después de 24 horas—, incluyendo las fotos individuales que los usuarios compartían en las historias, en una clara violación de los términos de servicio de la red social.

3. Recolectaba los perfiles públicos de los usuarios sobre una amplia base, recopilando información como las biografías de los usuarios y sus seguidores, que luego combinaba con otra información de localización y datos de otras fuentes.

Hyp3r no accedió a ningún dato no público de los usuarios de Instagram que definieron la configuración de privacidad de sus perfiles como "privada".

El resultado de la información pública que recogió fue una sofisticada base de datos sobre los usuarios de la red social, sus intereses y sus movimientos que Hyp3r promocionó abiertamente a los clientes como uno de sus principales puntos de venta, a pesar de que las políticas de Instagram estaban estructuradas de tal manera que tal cosa no sería posible.

El copiado de datos de Hyp3r fue una respuesta a los cambios posteriores a Cambridge Analytica

Hyp3r no es una operación sospechosa en una sala de calderas.

La startup ha recaudado decenas de millones de dólares, incluyendo una ronda de financiamiento de 17,3 millones de dólares en septiembre de parte de patrocinadores como Silicon Valley Bank y Thayer Ventures. Ha ganado múltiples premios, incluyendo el premio "Empresa más innovadora" de Fast Company en 2019 y 2018, y el premio Cannes Lions en 2017. Cuenta entre sus clientes con marcas de gran prestigio como Marriott International, Pepsi, Hard Rock y 24 Hour Fitness, y Jim Messina, exayudante de Obama, forma parte de su junta directiva.

Parte del comportamiento de Hyp3r alguna vez fue permitido por la plataforma.

Como muchas plataformas grandes, Instagram tiene una API, o interfaz de programación de aplicaciones, que permite a los desarrolladores crear servicios que pueden interactuar con su plataforma. (Son la razón por la que puedes guardar archivos en Dropbox desde Microsoft Office o ver a tus amigos de Facebook en Spotify, por ejemplo).

Pero las investigaciones de marzo de 2018 sobre la apropiación indebida por parte de la empresa de investigación política Cambridge Analytica de los datos de 87 millones de usuarios de Facebook —datos que se recogieron originalmente a través de una aplicación de cuestionarios construida sobre la API de la compañía de Marck Zuckerberg años antes— provocaron un cambio radical para la empresa, incluso en Instagram.

Antes de que estallara el escándalo, la API de Instagram permitió a los desarrolladores buscar publicaciones públicas en un lugar determinado. Pero después de esto, la plataforma comenzó a desaprobar (es decir, a desactivar) un conjunto de funciones de su API, incluidas las herramientas de localización, lo que causó el caos en empresas como Hyp3r, que habían estado confiando en ella.

Públicamente, Hyp3r acogió con entusiasmo los cambios en la API de Instagram, escribiendo una valiosa entrada en el blog en la que decía que "comprendía y acogía con satisfacción los cambios que Facebook está haciendo para proteger la privacidad de todos nosotros", y prometía que sus datos nunca serían utilizados con fines políticos.

Pero entre bastidores, la compañía se puso a trabajar en la construcción de un sistema que pudiera ignorar la decisión de la compañía y seguir recolectando datos de todos modos, dijeron fuentes a Business Insider.

Hyp3r georeferenció miles de lugares en todo el mundo, y luego arrasó con las publicaciones públicas

Hyp3r creó una herramienta que podía "geolocalizar" lugares específicos y luego recolectar todas las publicaciones públicas etiquetadas con esa ubicación en Instagram.

El resultado es una base de datos de miles de lugares, incluyendo "hoteles, casinos, cruceros, aeropuertos, gimnasios, estadios y destinos de compras en todo el mundo", así como hospitales, bares y restaurantes.

Si un usuario hace una publicación en una de estas ubicaciones, es, sin que ellos lo sepan, guardada en los sistemas de Hyp3r indefinidamente, dijeron las fuentes, junto con otra información que incluye un enlace a la foto de su perfil, su biografía de perfil y su número de seguidores.

Las historias de la red social de fotografía y vídeo de los usuarios, es decir, los mensajes que se supone que desaparecen después de 24 horas, nunca han estado disponibles a través de la API de Instagram. Pero Hyp3r construyó una herramienta para recolectarlas también, dijeron las fuentes, guardando las imágenes indefinidamente, junto con los metadatos asociados. (La API oficial solo permite el acceso a historias de cuentas de negocios y cuentas de creadores, una pequeña fracción de la población de Instagram, y estas no son visibles por ubicación).

Las publicaciones y las historias que Hyp3r recopiló estaban disponibles públicamente, pero solo se podían ver como piezas individuales de contenido. Al recolectarlos sistemáticamente de lugares populares, Hyp3r fue capaz de crear perfiles detallados de un gran número de movimientos de personas, sus hábitos y los negocios que frecuentan a lo largo del tiempo.

Imagina visitar una nueva ciudad y compartir una historia con amigos del hotel que visitaste. Por sí solo, no le dice mucho a los espectadores sobre ti.

Pero combínalo con la historia que publicaste desde el hospital que visitaste para un chequeo, y la selfie que te hiciste al día siguiente en un estadio deportivo, y la historia del restaurante vegetariano en el que comiste, y así sucesivamente, y una imagen íntima de tu vida y tus intereses comienza a surgir a lo largo de semanas y meses.

La recopilación y conservación de historias, en particular, parece desafiar las expectativas de los usuarios de Instagram. La gente comparte historias con el entendimiento de que desaparecerán en un día; en cambio, muchas están siendo guardadas indefinidamente por una compañía sin tu conocimiento y utilizadas para perfilarlas.

Leer más: El Gran Hermano tecnológico: esto es todo lo que Google, Amazon y Facebook saben de ti

Hyp3r dijo que debido a que los datos que recolecta ya son públicos, no se requiere el consentimiento de los usuarios de Instagram para recolectarlos, y que las empresas tienen necesidades comerciales legítimas que justifican saber lo que se está compartiendo desde sus propiedades.

Cómo Hyp3r utiliza sus datos

Hyp3r ha puesto este tesoro de datos a trabajar de múltiples maneras.

En primer lugar, permite a los clientes interactuar fácilmente con los usuarios que se encuentran en sus propiedades a través de la aplicación, utilizando su herramienta "Engage". Esto significa que Marriott, por ejemplo, puede ver cada mensaje etiquetado en un hotel Marriott a través de la aplicación Hyp3r, incluyendo comentarios y gustos, y responder a ellos donde quiera. Esto no es posible para las aplicaciones construidas sobre la API oficial de Instagram.

También puede dirigirse a personas con anuncios, en función de sus intereses y los lugares que han visitado. Las empresas pueden pedir a Hyp3r que geolocalice las ubicaciones de sus rivales y, posteriormente, dirigirse a las personas que han visitado a esos rivales con anuncios en Facebook.

Los datos recogidos de Instagram también pueden combinarse con datos recogidos en otras plataformas como Salesforce y Adobe, creando perfiles cada vez más detallados sobre las personas cuya información se está copiando.

Salesforce y Adobe no respondieron inmediatamente a la solicitud de comentarios de Business Insider sobre cómo examinaron Hyp3r antes de asociarse con la puesta en marcha.

¿Por qué Instagram no detectó esto?

Hyp3r no ha hecho ningún intento de ocultar lo que hace.

El listado de iOS App Store de la compañía muestra capturas de pantalla de una publicación de Instagram en su aplicación que dice que recopiló de una ubicación específica — una capacidad que la plataforma no permite — y en sus notas de lanzamiento de diciembre, hace referencia a la adición de "soporte para Historias de Instagram en toda la aplicación".

Públicamente promete a sus clientes características que exceden con mucho lo que está disponible a través de la API de Instagram, diciendo que "emerge toda la actividad social pública desde un lugar — sin importar las etiquetas y menciones — por lo que nunca se pierde la oportunidad de deslumbrar a sus clientes". (La API actual permite a los usuarios ver los mensajes públicos si han sido mencionados en ellos, o recuperar algunos mensajes con etiquetas sujetos a limitaciones más estrictas, pero no debido a su ubicación).

Sin embargo, Facebook incluyó a Hyp3r en su lista exclusiva de socios de marketing, un directorio de empresas examinadas que "puede proporcionarle información y datos superiores para tomar mejores decisiones de marketing".

Un portavoz de Instagram dijo que la compañía revisa periódicamente a los socios de marketing de Facebook para asegurar su cumplimiento.

El registro de Hyp3r parece violar las reglas de la plataforma en múltiples puntos, incluyendo el requisito de guardar o almacenar contenido en caché solo "durante el período necesario para proporcionar el servicio de su aplicación" (los datos de usuario almacenados por Hyp3r de forma indefinida, de acuerdo con múltiples fuentes), y la prohibición de realizar ingeniería inversa en las API de Instagram (Hyp3r reconstruyó deliberadamente su propia versión de una API que la compañía cerró después de Cambridge Analytica).

Del mismo modo, los términos de la recopilación automatizada de datos de la compañía dicen: "No participarás en la recopilación automática de datos sin el permiso expreso por escrito de Facebook".

Instagram también prohíbe la transferencia de datos "a cualquier red publicitaria", pero los datos de la red social podrían conectarse al propio administrador de anuncios de Facebook para dirigirse a personas con anuncios, lo que significa que la compañía de Mark Zuckerberg se benefició indirectamente de la recopilación de datos de Hyp3r.

Hyp3r disputó que violó los términos de servicio y las políticas de datos de Instagram. Sin embargo, un portavoz de la compañía dijo que sus prácticas violaban las normas de la empresa sobre la recopilación automatizada de datos.

El comportamiento de la empresa de marketing parece poco probable que sea ilegal bajo la ley de los Estados Unidos. En 2017, LinkedIn perdió una batalla legal contra una empresa que había estado copiando sus datos disponibles públicamente.

Caducidad de los datos de Instagram

Hyp3r también aprovechó un fallo en la seguridad de Instagram para mejorar la recopilación de datos.

Cuando se accede a la plataforma a través de un navegador web, existe un paquete JSON disponible públicamente que agrupa varios bits de datos en un formato de fácil acceso. Está disponible simplemente añadiendo una cadena corta de caracteres a cualquier URL de Instagram, y no necesita iniciar sesión, obtener aprobación o autenticar su identidad de ninguna manera para acceder a ella.

A petición de la compañía, Business Insider no está compartiendo el método exacto de acceso al paquete, por lo que la empresa tiene tiempo para solucionar el problema.

Instagram muestra las páginas de ubicación pública, mostrando los mensajes de los usuarios comunes desde una ubicación determinada, y este paquete aparece en esas páginas. Fuentes dijeron que fue a través de esto que Hyp3r pudo reunir algunos de los datos que estaba recopilando ilícitamente sobre los usuarios.

En otras palabras: un año después de que Instagram desactivara su funcionalidad de localización para los desarrolladores, la red social seguía siendo una forma fácil para los desarrolladores de seguir recopilando estos datos, sin ningún tipo de responsabilidad.

Los datos habrían sido técnicamente posibles de obtener si no hubiera existido este paquete JSON, pero su exposición lo hizo mucho más sencillo.

No está claro por qué las herramientas automatizadas de Instagram para detectar bots en su plataforma no detectaron el copiado a gran escala de Hyp3r.

En respuesta a las acciones de Hyp3r, Instagram ha hecho un cambio para evitar que las páginas de ubicación pública estén disponibles para los usuarios que han cerrado sesión.

También ha revocado completamente el acceso de Hyp3r a sus API y lo ha eliminado de la lista de socios de marketing de Facebook.

Un portavoz de Instagram dijo que aún no podían comentar si notificarían a los usuarios afectados o pedirían a Hyp3r que certificara formalmente que borra los datos. La red social ha pedido formalmente a Hyp3r que deje de recopilar datos de Instagram en su carta de cese y desistimiento, dijo, y le pedirá que se explique en una entrevista telefónica y que proporcione un informe de todos los datos que fueron recogidos.