Facebook pagó a una firma de seguridad para desarrollar una herramienta que permitiese hackear a uno de sus propios usuarios; el objetivo era un hombre de California, un depredador sexual que había sembrado el terror usando su plataforma.
La red social fundada por Mark Zuckerberg ha sido protagonista de no pocas polémicas relacionadas con la privacidad, la más conocida la que implicó a Cambridge Analytica en la filtración de los datos de millones de usuarios.
Facebook también ha sido acusada de espiar a sus propios usuarios, como cuando desarrolló una app que capturaba todo el tráfico del móvil. Pero el caso revelado por Motherboard es la primera vez en la que Facebook fue a por un usuario concreto; aunque la compañía promete que es "un caso único".
Cómo Facebook ayudó a hackear a uno de sus usuarios
"Único" es una manera de definir a Buster Hernandez, mejor conocido como 'Brian Kil' en Internet; una identidad ficticia con la que acosaba y perseguía a niñas menores de edad por la red. Hernandez había tomado medidas excepcionales para proteger su identidad, por lo que pese a usar métodos fáciles de rastrear para contactar a sus víctimas, las autoridades no eran capaces de encontrarlo.
Su método preferido consistía en extorsionar a menores, pidiéndoles fotos y vídeos sexuales, amenazándolas de muerte; para demostrar que iba en serio, enviaba amenazas de bomba a los colegios de las menores, lo que solía ser suficiente para aceptar sus demandas.
Hernandez contactaba con las chicas a través de apps de mensajería, correo electrónico y Facebook; es de esta manera que la compañía tuvo constancia de la presencia del depredador sexual en su red, pero al igual que el FBI, no tenía manera de rastrearle.
Eso es porque Hernandez usaba el sistema operativo Tails OS, especializado en proteger la privacidad de sus usuarios; por ejemplo, todas las conexiones se realizan a través de la red Tor, que enmascara la dirección IP real del usuario para dificultar el rastreo.
Entonces, la compañía dio un paso inaudito: contrató a una empresa de seguridad para que desarrollase una herramienta capaz de hackear los ordenadores de Hernandez; Facebook pagó una cantidad de seis cifras por este 'exploit', un método para rastrear el tráfico que se aprovechaba de una vulnerabilidad de Tail OS que no se había hecho pública.
Facebook no usó la herramienta; en vez de eso, usó a un intermediario para entregársela al FBI, y de hecho no está claro si los agentes sabían de la implicación de la compañía.
Hernandez pudo ser localizado y detenido con la ayuda de la herramienta, y se declaró culpable de 41 cargos, entre los que se encuentran posesión de pornografía infantil; está a la espera de sentencia.
Facebook, con miedo de crear un precedente
La implicación de Facebook en este caso es un tema espinoso dentro de la compañía, que lo justifica por la inmensa gravedad de las acciones de Hernandez; sin embargo, al mismo tiempo ha reiterado una y otra vez que no podemos esperar lo mismo de manera regular.
Representantes de Facebook han aclarado a Motherboard que este fue un "caso único" por los cargos contra Hernandez y la dificultad en capturarlo, y que realizar un ataque hacker fue la última opción que tenían disponible; pero al mismo tiempo, quiere calmar las espectactivas de que a partir de ahora colabore de esta manera con las autoridades.
Según fuentes internas, esta es la única vez que Facebook se ha implicado de manera directa en el arresto de uno de sus usuarios, y se nota un cierto miedo de que se convierta en un precedente.
Que una compañía privada pueda decidir actuar en un caso concreto, invirtiendo dinero y recursos en romper su privacidad, puede ser peligroso según un empleado de Facebook.
Especialmente porque la investigación no se centró en su propio software y su propio servicio, sino en otro proyecto, Tails OS; y como Facebook no contactó con sus desarrolladores, estos no saben qué fallo tiene su sistema: sólo que es inseguro y que el FBI ahora tiene una herramienta para hackear a cualquiera de sus usuarios.
Tails no solo es usado por criminales; también por activistas, periodistas y otras personas que temen ser rastreadas por gobiernos de todo el mundo, especialmente en estos tiempos convulsos.
Facebook ha sentido la necesidad de defenderse y explicar su motivación: que los actos de Hernandez eran tan horrorosos que hacía falta esa acción; pero al mismo tiempo, fuentes internas creen que si volviese a ocurrir, probablemente no harían lo mismo.