En el último año, Meta ha inundado las pantallas de televisión con comerciales que destacan la privacidad de WhatsApp, su servicio de mensajería cifrada que cuenta con 3 mil millones de usuarios mensuales.
“Es privado”, dice una campaña publicitaria con el elenco de la serie Modern Family. “En WhatsApp, nadie puede ver o escuchar tus mensajes personales… ni siquiera nosotros”, afirma otra serie de anuncios.
Riesgos graves para los datos de los usuarios
El lunes, el exjefe de seguridad de WhatsApp presentó una demanda federal como denunciante que presenta una narrativa muy diferente. La demanda, interpuesta en el Tribunal de Distrito de EE. UU. para el Distrito del Norte de California, enumera una serie de supuestas fallas de seguridad y privacidad que Meta no solo no corrigió tras conocerlas, sino que además mantuvo en secreto, supuestamente en violación de un acuerdo de 5 mil millones de dólares que la entonces matriz de WhatsApp, Facebook, alcanzó con la Comisión Federal de Comercio. La queja fue presentada por Attaullah Baig, quien se convirtió en jefe de seguridad de WhatsApp en 2021.
Meta ha negado las acusaciones.
Poco después de asumir su cargo, la demanda afirma que Baig “descubrió fallas sistemáticas en ciberseguridad que planteaban serios riesgos para los datos de los usuarios”. Durante un ejercicio de “red team” diseñado para encontrar y explotar vulnerabilidades de seguridad, Baig indicó que aproximadamente 1,500 ingenieros dentro de la división de mensajería tenían “acceso sin restricciones a los datos de los usuarios, incluyendo información personal cubierta por la Orden de Privacidad de la FTC, y podían mover o robar dichos datos sin detección o pista de auditoría.”
A partir de septiembre de 2021, Baig notificó a sus superiores responsables de WhatsApp que el acceso sin restricciones para tantos empleados probablemente violaba la orden de 2019. Entre otras cosas, redactó un documento dirigiendo al equipo de infraestructura de privacidad de WhatsApp a implementar un sistema de clasificación y manejo de datos que cumpliera con la orden para mejorar la seguridad de los datos de los usuarios almacenados al restringir el acceso de los empleados a estos.
“Esto representó el primer paso concreto hacia la solución de las fallas fundamentales en la gobernanza de datos de WhatsApp”, afirma la queja. “El Sr. Baig entendió que la cultura de Meta es similar a la de un culto donde no se puede cuestionar ningún trabajo anterior, especialmente cuando fue aprobado por alguien de un nivel superior al de la persona que plantea la preocupación.” En los años siguientes, Baig continuó presionando a líderes cada vez más altos para que tomaran medidas.
La carta que envió no solo describió el acceso indebido que los ingenieros tenían a los datos de los usuarios de WhatsApp, sino también una variedad de otras deficiencias, incluyendo una “falta de inventario de datos de usuarios”, como se requiere bajo las leyes de privacidad en California, la Unión Europea y el acuerdo con la FTC, la incapacidad para localizar el almacenamiento de datos, la ausencia de sistemas para monitorear el acceso a los datos de usuarios y la incapacidad para detectar violaciones de datos que son estándar en otras empresas.
El año pasado, Baig supuestamente envió una “carta detallada” al CEO de Meta, Mark Zuckerberg, y a Jennifer Newstead, consejera general de Meta, notificándoles sobre lo que él afirmaba eran violaciones del acuerdo de la FTC y reglas de la Comisión de Valores y Bolsa que exigen la notificación de vulnerabilidades de seguridad. La carta alegó además que los líderes de Meta estaban tomando represalias contra él y que el equipo de seguridad central de Meta había “falsificado informes de seguridad para encubrir decisiones de no remediar riesgos de exfiltración de datos”.
La demanda, que alega violaciones de la disposición de protección de denunciantes de la Ley Sarbanes-Oxley de 2002, afirma que en 2022, aproximadamente 100,000 usuarios de WhatsApp tenían sus cuentas hackeadas cada día. Para el año pasado, la queja alegó que hasta 400,000 usuarios de WhatsApp estaban siendo bloqueados de sus cuentas diariamente como resultado de tales tomas de control.
Baig también notificó supuestamente a sus superiores que el raspado de datos en la plataforma era un problema porque WhatsApp no implementó protecciones que son estándar en otras plataformas de mensajería, como Signal y Apple Messages. Como resultado, el exjefe de WhatsApp estimó que las imágenes y nombres de aproximadamente 400 millones de perfiles de usuarios eran copiados de manera inapropiada cada día, a menudo para su uso en estafas de suplantación de cuentas. La queja afirmó:
En particular, el Sr. Baig recomendó limitar el acceso de los usuarios a los perfiles de otros usuarios a menos que el otro usuario los tenga en sus contactos, les haya enviado un mensaje anteriormente o esté en el mismo grupo de chat con ellos. El Sr. Baig mencionó que WhatsApp está filtrando Información Cubierta de millones, si no miles de millones, de usuarios diariamente y que WhatsApp está reportando severamente bajo los Incidentes de Raspado Cubiertos a la FTC y otros reguladores. El Sr. Baig también citó las fuertes protecciones que iMessage y Signal ofrecen contra el raspado de perfiles en comparación con WhatsApp.
Los líderes de Meta supuestamente rechazaron la recomendación bajo el argumento de que perjudicaría el crecimiento de usuarios de WhatsApp.
En un correo electrónico, un representante de WhatsApp escribió: “Lamentablemente, este es un guion familiar en el que un ex empleado es despedido por bajo rendimiento y luego sale a la luz con afirmaciones distorsionadas que malinterpretan el arduo trabajo continuo de nuestro equipo. La seguridad es un espacio adversarial y nos enorgullecemos de construir sobre nuestro sólido historial de protección de la privacidad de las personas.”
Fuente original: ver aquí
