Investigadores españoles avisan: así te puede identificar y manipular Facebook

Peligro de chantajes.

Con los anuncios de Facebook es posible llegar a una persona en concreto con solo conocer sus intereses, lo que tiene nuevas implicaciones para la privacidad y graves riesgos.

La personalización de los anuncios de internet de acuerdo con nuestras búsquedas o nuestros gustos no es nada nuevo. En los últimos años ha transformado el sector de la publicidad y el hecho de recibir anuncios relacionados con nuestro perfil puede ser percibido como positivo o deseable por muchos usuarios. Sin embargo, ¿cómo de específica puede llegar a ser? Una investigación realizada por científicos españoles demuestra que una campaña de Facebook puede llegar al máximo, hasta el punto de identificar y dirigirse a una persona concreta basándose únicamente en los intereses que manifiesta.

El problema es que esta posibilidad entra en conflicto con la privacidad y expone a los usuarios a riesgos que no se habían tenido en cuenta hasta ahora y que podrían influir incluso en la legislación. La información de identificación personal (PII, por sus siglas en inglés) son los datos exclusivos de un individuo, como su DNI, o los que permiten ponerse en contacto con él, como un correo electrónico o un número de teléfono. Para utilizarlos, una empresa debe tener el permiso el consentimiento de esa persona. Pero, ¿qué pasa si podemos identificar a dicha persona gracias a Facebook y sin contar con esa autorización?

Esa es la reflexión que se abre a partir de un trabajo firmado por José González-Cabañas, Ángel Cuevas y Rubén Cuevas, investigadores de la Universidad Carlos III de Madrid (UC3M); Juan López-Fernández, de GTD System & Software Engineering; y David García, de la Universidad Tecnológica de Graz (Austria). Su artículo, alojado en la plataforma de prepublicaciones arXiv, demuestra que con la red social de Mark Zuckerberg es posible realizar esta mala práctica como anunciante, lo que va más allá del ámbito comercial, puesto que expone a los usuarios ante el riesgo de sufrir manipulaciones y chantajes.

“Si envío un anuncio a través de un email, sé que va a llegar a una persona en concreto, porque esa información identifica al individuo, pero para tenerla y usarla necesito el consentimiento del usuario. Sin embargo, los intereses de Facebook no identifican a una persona. Por ejemplo, hay mucha gente interesada en el deporte. Sin embargo, hemos descubierto que podemos combinar una serie de intereses y con un número determinado de ellos podemos identificamos a una persona concreta entre los miles de millones de personas de esta red social”, explica a Teknautas José González-Cabañas, uno de los autores del trabajo.

Para demostrarlo, los investigadores hicieron un experimento: diseñaron 21 campañas publicitarias que pretendían llegar específicamente a tres de los autores del trabajo. “Por una parte, somos el anunciante en Facebook y, por otra, el anuncio va dirigido a cada uno de nosotros. Construimos un modelo para ver cuántos intereses nos harían falta para llegar con alta probabilidad a una sola persona y después lo validamos con las campañas”, señala. Así, al combinar cinco intereses aleatorios, el anuncio no llegaba al usuario elegido. De hecho, el modelo de probabilidad que construyeron solo daba un 2% de posibilidades. Sin embargo, se iban incrementando a medida que el número de intereses subía a siete, a nueve… Al final resultó que llegar a 18 intereses garantizaba el éxito.

José González-Cabañas. (Cedida)
José González-Cabañas. (Cedida)

“La gracia fue ver que yo recibía mi propio anuncio y que solo lo recibía yo”, explica el investigador de la UC3M. Facebook muestra a los anunciantes el número de usuarios alcanzados en una campaña y esto permitió que los autores confirmasen el éxito del experimento: “Nos ponía que solo habíamos llegado a una persona, así que tenemos el control por las dos partes, hemos lanzado el anuncio, yo lo he visto y me dicen que ha llegado a una sola persona, así que soy yo”, explica.

 

Facebookgate

A partir de 22 intereses, es infalible, pero realmente hacen falta muchos menos cuando se trata de intereses muy raros y específicos. “Si indico que me gusta el equipo de fútbol de mi barrio y las coliflores, es más fácil que se me pueda identificar“, apunta González-Cabañas. Según el artículo, cuando son tan poco habituales es posible localizar a una persona conociendo tan solo cuatro de ellos. De hecho, hay una parte de la investigación que no aparece en el trabajo, pero que profundiza en esta cuestión: “Fuimos capaces de llegar hasta mí en Facebook con solo tres intereses poco populares de mi perfil. Ahí nos dimos cuenta de que se podía hacer de manera sistemática”, explica.

Esa capacidad de llegar de forma tan específica es definida por los autores como ‘nanotargeting’, un término que ya ha sido utilizado por otros investigadores, aunque también son comunes palabras similares como ‘microtargeting’, ‘ultratargeting’ o ‘hipertargeting’. La idea es que dentro de una base de datos de miles de millones de usuarios se puede llegar a uno solo. En concreto, las cifras de Facebook rondan los 2.800 millones de perfiles activos (más de un tercio de la población mundial), que son aún más si se cuentan todos los registrados.

En teoría, Facebook exige un número mínimo de usuarios a los que se debe dirigir una campaña, pero este trabajo demuestra que no es así. “Te dicen que la audiencia es demasiado estrecha y que la intentes ampliar, pero eso no nos impidió hacer las campañas. De hecho, solo nos apareció ese mensaje en una de las 21 campañas que hicimos, no nos dejaba lanzarla porque decía que era demasiado estrecha, pero conseguimos hacerlo cambiando solamente un interés aleatorio”, explica el investigador. Aunque los autores del trabajo no se llegaron a poner en contacto con Facebook directamente, la web ‘TechCrunch’ se hizo eco y preguntó a la empresa. “Les dijeron que el mínimo de usuarios evitaba que las campañas sean enviadas a una sola persona, pero evidentemente, nosotros demostramos que no es así“, comenta.

Los responsables de Facebook también alegaron que en la práctica era imposible organizar una campaña personal porque los intereses de los perfiles de los usuarios no se exponen a los anunciantes. Esta afirmación también es refutada por los investigadores españoles. “Con esta respuesta, en Facebook están aceptando que hacer ‘nanotargeting’ es posible y la única pega es que necesitamos acceder a la lista de intereses de un usuario. Pues bien, aunque ellos no la ofrezcan, existen múltiples maneras de inferir cuáles son e incluso de obtenerlos directamente. Por ejemplo, nosotros lo hicimos con una extensión del navegador. En nuestro caso, pedimos permiso al usuario para hacer la investigación, pero un atacante puede lograrlos sin esa autorización”, aclara González-Cabañas.

Implicaciones innumerables

Los investigadores españoles consideran que Facebook está ofreciendo un argumento que no se sostiene en lugar de evitar que el ‘nanotargeting’ sea posible, como debería hacer. “Cuando doy mi correo, sé que lo estoy haciendo y que me pueden enviar mensajes o publicidad. Por eso, la cuestión aquí es que yo, como usuario, no sería consciente de que me están poniendo un anuncio solo a mí”, comenta. Ese desconocimiento expone a riesgos muy serios. Por ejemplo, “podrían decirme, con mi nombre y apellidos, que estoy viendo páginas ilegales y hacerme un chantaje. Al no saber que eso me está llegando a través de este método, tendría más probabilidad de creerme el montaje y de picar en el anzuelo”, asegura.

El fundador de Facebook. (Reuters)
El fundador de Facebook. (Reuters)

En cuanto a la privacidad, esto implica que “se debería considerar que la agrupación de estos datos puede llegar a identificarme”. No obstante, los autores no quieren entrar en cuestiones legales y aseguran que su intención es, simplemente, poner a disposición del público la información que han analizado. Existen otras investigaciones que han detectado el mismo problema, pero nunca con Facebook, de manera que sus implicaciones eran menores. Por ejemplo, algunos autores han usado información que no identifica al usuario para averiguar cuántos datos hay que combinar para identificarle a través de registros de llamadas o registros de compras con tarjeta de crédito. Sin embargo, la disponibilidad de esos datos es menor y, como mucho, afectarían a bases de datos de millones de personas, “pero en este caso estamos hablando de miles de millones, una escala que implica la población mundial”.

En cualquier caso, el gran peligro es que cualquiera puede poner un anuncio en Facebook con base en intereses. “Y para adivinar los intereses de una persona solamente necesitas investigar un poco”, apunta González-Cabañas. “Estoy seguro de que con hacer una búsqueda en Google y poner mi nombre encuentras muchos de los míos”, añade, “a pesar de que yo tengo mis redes sociales bastante limitadas para el acceso de terceros, pero mucha gente no tiene tanta consciencia sobre su privacidad, así que comparte más cosas y es más fácil llegar hasta ellos”.

Los autores de este artículo ya están trabajando en otro enfoque: combinar los intereses de los perfiles de Facebook con otro tipo de información que tampoco identifica personalmente, como el género, el lugar de residencia o el rango de edad. “Es muy probable que el número de intereses que tienes que incluir se reduzca drásticamente si además dispones de esos datos, así que nos preguntamos si en lugar de inferir 22 intereses, podría ser suficiente con dos o tres”, comenta. Además, este tipo de información también podría derivarse del uso de Google, Twitter o Amazon, lo que abriría nuevas líneas de investigación en estas plataformas.

Fuente: José Pichel – El Confidencial

Comparte esta página:
4 1 voto
Calificación del post
Suscribirse
Notificar de
guest
0 Comentarios
Comentarios en línea
Ver todos lo comentarios