Detectan un agujero de seguridad al analizar fotos de Facebook
El equipo de Quantika14, una empresa sevillana de peritaje informático, ha encontrado una falla de seguridad en el análisis automático de las imágenes de Facebook, la red social propiedad de Meta. Facebook dispone de un sistema de descripción de imágenes, diseñado para sus usuarios ciegos, que funciona a través de Inteligencia Artificial.
Esta falla de seguridad en Facebook permitiría a empresas externas obtener datos de los usuarios de la red social con fines comerciales
Es precisamente en este sistema, supuestamente suprimido por Facebook el pasado mes de noviembre, donde Quantika14 ha encontrado el fallo. A través de ese mecanismo, la plataforma realiza un análisis profundo de las imágenes detectando caras, palabras e incluso matrículas de coches. Todos esos datos se muestran en un atributo “ALT” y se pueden obtener de forma automática para generar con ellos paquetes de información.
El código utilizado por esta herramienta está diseñado para que se puedan extender los datos asociados a un elemento en particular sin necesidad de que tengan un significado definido. Sus atributos permiten almacenar información adicional sobre un elemento HTML cualquiera sin necesidad de recurrir a análisis más complejos.
El uso indiscriminado y automatizado de este sistema puede suponer una vulneración del derecho a la privacidad de los usuarios. Este análisis mecánico de los datos permite una extracción masiva de los mismos.
Aprovechándose de este error en la seguridad de Facebook, cualquier empresa podría monitorizar las fotos que un usuario sube a su muro. Utilizando un sencillo script se podría espiar y extraer millones de datos del perfil de cualquier usuario de Facebook del mundo, trazando el modelo de conducta de los usuarios a gran escala.
Se sabe que Meta vende paquetes de datos con información relevante de sus usuarios a terceras empresas para utilizarlos con fines comerciales. Sin embargo, esta falla de seguridad supondría que cualquier particular u organización pudiese extraer esos datos de forma masiva sin la supervisión de Meta y sin pagarle por ellos a la empresa.
Actualización: Facebook nos ha hecho llegar la siguiente declaración oficial respecto a la noticia:
«Introdujimos el texto alternativo automático en 2018 como una función de accesibilidad para ayudar a la comunidad de invidentes a experimentar Facebook de la misma manera que otros lo disfrutan. Estas descripciones de las imágenes se generan mediante aprendizaje automático y son accesibles intencionadamente para quienes tienen permiso para verlas. No revelan información sensible.
Estas descripciones son intencionadamente visibles, pero esta visibilidad está limitada a la audiencia seleccionada por la persona que sube la foto en su configuración de privacidad, y si una persona desea cambiar el texto alternativo de una imagen que suba, puede hacerlo«.