Apple retira el certificado corporativo a Facebook en una nueva violación de la privacidad

Nueva página en la historia de la invasión de la privacidad por parte de Facebook y nueva lucha con Apple por este tema. Una historia que empezó con la salida del App Store de una app de VPN de Facebook llamada Onavo Protect en agosto del pasado año (retirada voluntariamente por presiones de Apple) y que ha vuelto a saltar ahora por unas malas prácticas por parte de Facebook que le han llevado al baneo (revocación) de su certificado de desarrollador de apps para empresa por parte de Apple.

Pero como es un tema complejo vamos a ir contando paso a paso la cronología de acontecimientos para saber qué ha pasado exactamente y cómo entender toda la historia.

En 2013, Facebook compró la empresa israelí Onavo que disponía de un software de VPN propio que añadía una serie de cualidades y controles a la navegación de los usuarios que la usaban. Para aclarar el concepto, una VPN (o de red privada virtual) es un protocolo que permite a un dispositivo conectar desde internet a una red privada y moverse por ella como si estuviera físicamente donde está dicha red. Imaginad que yo tengo un servidor NAS en casa: puedo crear una red VPN a la que conectar desde mi iPhone y acceder a mis contenidos del servidor de forma segura como si estuviera físicamente en casa conectado a mi red por WiFi. Mi tráfico principal se desvía desde la red normal de internet hacia esa red privada a la que estoy conectado como un nodo virtual.

Las VPNs muchas veces se usan para dar acceso a los recursos internos de una empresa que no están publicados en internet, para permitir saltar las localizaciones geográficas de países y usar apps o servicios restringidos en dicho lugar. En el caso de Onavo Protect el servicio ofrecía además servicios de control del tráfico, privacidad y compresión de los datos que recibías ahorrándote tráfico. Eso ofrecía Facebook, en una función que hasta apareció en febrero del pasado año en la app principal con un botón PROTECT, que si pulsabas te llevaba a instalar Onavo Protect.

La excusa de Facebook es que con su app si estás en tu trabajo usando la red del mismo, o un lugar público con una red WiFi tipo una cafetería e incluso en tu casa pero quieres navegar de forma más privada y controlada, te invitaba a usar su app para ofrecerte ese servicio de protección de tu navegación y tu privacidad. Conectados a ellos, las peticiones a cualquier web o servicio pasan por su red (se desvían) por lo que cualquier intento de monitorizar tu tráfico o limitarlo no sirve porque solo se ve una conexión constante a los servidores de Onavo y no se sabría realmente dónde estás navegando o qué haces. Realmente, protegen tu privacidad, al menos en ese paso.

Además Onavo ofrece alertas cuando alguna app hace un uso excesivo de los datos, para limitar el tráfico en segundo plano de determinados servicios, saber cuánto ha gastado realmente cada app en consumo de datos y, por supuesto, te ofrece privacidad absoluta para que tus datos más sensibles como claves, cuentas de bancos o números de tarjeta no fueran vistos por nadie. Onavo Protect hoy sigue disponible en Google Play.

Pero, como hemos comentado, Apple instó a Facebook a borrar la app del App Store en agosto por incumplir con su última revisión de reglas de privacidad alegando que la app estaba registrando toda la actividad de los usuarios. Hasta aquí está permitido si avisas detalladamente al usuario sobre los datos que recopilas y qué uso vas a darle, y si el usuario acepta la política de privacidad no hay ningún problema. Pero no hemos completado la frase porque el problema es que recopila la actividad, pero también la vende a filiales o terceros.

De hecho, la app sigue en Google Play porque allí sí se permite que una app recopile información con el permiso del usuario y que dicha información se venda a terceros. El problema, tal y como recogía un artículo de Xataka en agosto es este texto de la política de privacidad de Onavo Protect:

Esto Apple no lo permite (lo destacado en negrita) y por eso presionó a Facebook hasta que estos borraron la app del App Store. Y si todo hubiera quedado aquí, pues nada, sin problema. Pero hoy se ha sabido que Facebook, en su ansía de datos, ha utilizado la tecnología de Onavo para algo mucho más grave.

Hoy ha saltado la noticia que Facebook lleva dos años pagando a jóvenes y adultos de 13 a 35 años hasta 20 dólares por mes por hacer toda su vida digital usando una app de investigación con el objeto de mejorar su servicio y conocer las prácticas de uso de los usuarios.

Para eso han estado usando la app de Onavo Protect camuflada como la app Facebook Research, a la que además de la ya comentada funcionalidad le han añadido la capacidad de acceder a los registros privados de uso de los iPhone y con ello extraer toda la información del usuario relativa a: mensajes privados en apps de comunicación o redes sociales, incluyendo fotos o vídeos enviados, emails, búsquedas en la web, actividad de navegación y localización del dispositivo en tiempo real.

Y para rematar, además solicita acceso raíz al dominio de la VPN pidiendo la instalación de un certificado de confianza en el dispositivo, lo que hace que cualquier dato de salida o entrada que el iPhone transmite pase por su red de forma obligatoria, no solo el tráfico que el propio iPhone puede desviar hacia el protocolo de VPN.

¿Permite Apple publicar este tipo de apps en el App Store? No. De hecho aproximadamente el 25% del total de rechazos del App Store son de apps que no cumplen las reglas de privacidad de la tienda. Entonces, ¿cómo puede estar publicada? Porque no lo está. Esta app se instala a través del uso del certificado Enterprise. Un tipo de certificado pensado para que las empresas puedan desarrollar sus propias aplicaciones de uso interno y que no tengan que pasar por el App Store ni por ninguna revisión de Apple. Una forma de facilitar los desarrollos llamados in-house. Un tipo de certificado que en sus normas dicen taxativamente que solo puede ser usado para instalar apps en dispositivos de flotas de empresa o de empleados de la misma. Nada más.

Al hacerse público este problema por parte de la página Techcrunch que ha hecho un extenso análisis de las malas prácticas de Facebook, Apple ha hecho declaraciones oficiales al respecto, a las que ha tenido acceso Applesfera:

Como podemos leer, al enterarse Apple de esta práctica lo que ha hecho es revocar el certificado de Facebook: de esta forma, a partir de la fecha de revocación, las apps firmadas con este certificado dejarán de funcionar en los iPhone donde estén instaladas porque no será una firma válida la que intenta ejecutar la app.

El peligro que tienen estas prácticas, sobre todo con apps dadas a usuarios (aparte de no cumplir el acuerdo de uso y licencia) es que al no pasar por el App Store, la app Facebook Research no tiene restricciones y puede controlar casi lo que quiera. Puede acceder al sistema de archivos del iPhone, a servicios sin autorización… es decir: hacer uso de librerías privadas (que están terminantemente prohibidas en el App Store) que permiten acceder a mucho más en iOS.

Esta práctica está extendida en algunos ámbitos y hemos sabido de apps que permiten conectar más de un WhatsApp a la vez en nuestro iPhone (con diferentes números de teléfonos) y que luego interceptan tus conversaciones a través de los servidores que usan para engañar al servicio y que uses dos números en un solo dispositivo.

Incluso hay casos de emuladores de consolas u ordenadores retro (cuyas copias de la memoria ROM que permite hacerlas funcionar están protegidas por derechos de autor y por eso Apple no permite en el App Store este tipo de software, sin la autorización por escrito del propietario de esos derechos) que permiten ser instalados usando un certificado de este tipo. Un certificado que requiere la instalación de un perfil de configuración y una autorización de confianza a cualquier programa creado con ese certificado. Una práctica nada recomendada por nuestra propia seguridad y privacidad, pues no llega a ser un jailbreak pero estamos permitiendo que apps que no han pasado la revisión de Apple se ejecuten en nuestro dispositivo.

Lo más increíble de todo, es que no cejan en su empeño de conseguir más y más datos con la excusa de ofrecer mejores servicios. Porque según ha averiguado Techcrunch, Facebook tendría 3 apps en pruebas que serían versiones de esta app Facebook Research: BetaBound, uTest y Applause. Algunas de ellas con campañas de publicidad en Instagram incluso. Apps que usan el mismo sistema por el que el usuario tiene que autorizar el certificado de Facebook en su dispositivo para instalar la app desde la web y no desde el App Store.

Una de ellas, uTest, está mostrando publicidad incluso a usuarios menores de edad, entre 13 y 17 años, que previo consentimiento paterno, les pagan por dejarles recopilar toda la información del uso del dispositivo. En una de las páginas se nos informa de para qué sirve esta app:

Pero oye, que te ofrecen 20 dólares al mes en una tarjeta regalo para tus comprillas. Es increíble. Este tipo de malas prácticas por parte de empresas como Facebook nos hacen ver de forma aún más clara que no podemos vender nuestra privacidad a cualquier precio. Aunque en este caso Facebook está siendo “legal” si lo analizamos desde un punto de vista de los derechos del usuario. Te están informando claramente de a qué les das acceso. El problema es que con la trampa del dinero (sobre todo para un menor) les estás ofreciendo datos que no queda claro que tengan derecho a tener, como la información cifrada de apps o de navegación.

Y esto nos lleva de nuevo a la eterna pregunta: ¿realmente somos conscientes de lo que cedemos o aceptamos cuando le damos que sí a un texto infinito, o solo nos centramos en usar el servicio y no sabemos qué precio pagamos por él con nuestros datos? Deberíamos ser todos más conscientes y no permitir este tipo de prácticas que, para mi, son claramente abusivas en el afán de Facebook de conocer, principalmente las tendencias de mercado asociadas a nuevos servicios que les están dañando a nivel usuarios como la famosa app TikTok. Creo que no todo está justificado y menos jugando con la “inocencia” de un usuario que no sabe lo que acepta y solo quiere el dinero ofrecido.