Detectan un agujero de seguridad al analizar fotos de Facebook

Candado Facebook

El equipo de Quantika14, una empresa sevillana de peritaje informático, ha encontrado una falla de seguridad en el análisis automático de las imágenes de Facebook, la red social propiedad de Meta. Facebook dispone de un sistema de descripción de imágenes, diseñado para sus usuarios ciegos, que funciona a través de Inteligencia Artificial.

Esta falla de seguridad en Facebook permitiría a empresas externas obtener datos de los usuarios de la red social con fines comerciales

Es precisamente en este sistema, supuestamente suprimido por Facebook el pasado mes de noviembre, donde Quantika14 ha encontrado el fallo. A través de ese mecanismo, la plataforma realiza un análisis profundo de las imágenes detectando caras, palabras e incluso matrículas de coches. Todos esos datos se muestran en un atributo “ALT” y se pueden obtener de forma automática para generar con ellos paquetes de información.

El código utilizado por esta herramienta está diseñado para que se puedan extender los datos asociados a un elemento en particular sin necesidad de que tengan un significado definido. Sus atributos  permiten almacenar información adicional sobre un elemento HTML cualquiera sin necesidad de recurrir a análisis más complejos.

El uso indiscriminado y automatizado de este sistema puede suponer una vulneración del derecho a la privacidad de los usuarios. Este análisis mecánico de los datos permite una extracción masiva de los mismos.

Aprovechándose de este error en la seguridad de Facebook, cualquier empresa podría monitorizar las fotos que un usuario sube a su muro. Utilizando un sencillo script se podría espiar y extraer millones de datos del perfil de cualquier usuario de Facebook del mundo, trazando el modelo de conducta de los usuarios a gran escala.

Se sabe que Meta vende paquetes de datos con información relevante de sus usuarios a terceras empresas para utilizarlos con fines comerciales. Sin embargo, esta falla de seguridad supondría que cualquier particular u organización pudiese extraer esos datos de forma masiva sin la supervisión de Meta y sin pagarle por ellos a la empresa.

Actualización: Facebook nos ha hecho llegar la siguiente declaración oficial respecto a la noticia:

«Introdujimos el texto alternativo automático en 2018 como una función de accesibilidad para ayudar a la comunidad de invidentes a experimentar Facebook de la misma manera que otros lo disfrutan. Estas descripciones de las imágenes se generan mediante aprendizaje automático y son accesibles intencionadamente para quienes tienen permiso para verlas. No revelan información sensible. 

Estas descripciones son intencionadamente visibles, pero esta visibilidad está limitada a la audiencia seleccionada por la persona que sube la foto en su configuración de privacidad, y si una persona desea cambiar el texto alternativo de una imagen que suba, puede hacerlo«.

Bernardo Álvarez

Graduado en psicología y periodista entre Asturias y Madrid. Interesado en política internacional, tecnología, medio ambiente y cultura

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
    • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar la solicitud que realizas en este formulario de contacto.
    • Legitimación: Consentimiento del interesado.
    • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de SiteGround Spain S.L. (proveedor de hosting de TreceBits). SiteGround Spain S.L. está ubicado en la UE, cuyo nivel de protección son adecuados según Comisión de la UE. Ver política de privacidad de SiteGround Spain S.L.
    • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en [email protected] así como el derecho a presentar una reclamación ante una autoridad de control.
    • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.