Por Ime Archibong, vicepresidente de Alianzas de Productos
Queremos actualizar la información acerca de nuestra investigación sobre las aplicaciones de desarrolladores que comenzamos en marzo del 2018, en respuesta al episodio relacionado con Cambridge Analytica.
Prometimos revisar todas las aplicaciones que tuvieron acceso a grandes cantidades de información antes de cambiar nuestras políticas de la plataforma en 2014. Esta tarea ha involucrado a cientos de personas: abogados, investigadores externos, científicos de datos, ingenieros, especialistas en políticas y otros equipos en la empresa. Esta revisión nos ayuda a comprender mejor los patrones de abuso y eliminar posibles actores maliciosos entre los desarrolladores.
Inicialmente, identificamos aplicaciones para investigación en función de cuántos usuarios tenían y la cantidad de datos a los que podían acceder. Ahora, también identificamos aplicaciones con base en señales asociadas a su potencial para abusar de nuestras normas. Cuando tenemos sospechas, hacemos un examen más intensivo. Esto incluye una investigación de antecedentes del desarrollador y un análisis técnico de la actividad de la aplicación en la plataforma. Dependiendo de los resultados, podríamos adoptar distintas medidas, como exigir a los desarrolladores que respondan a un cuestionario en profundidad, realizar inspecciones, o prohibir aplicaciones en la plataforma.
Nuestra investigación está lejos de estar terminada. Sin embargo, hubo avances importantes: hemos suspendido decenas de miles de aplicaciones por diversas razones, mientras continuamos investigando.
Es importante entender que esas apps suspendidas están vinculadas a unos 400 desarrolladores. Esta no es necesariamente una señal de que esas aplicaciones representaban una amenaza para las personas. Muchas no estaban en línea y se encontraban en una fase de prueba al momento de ser suspendidas. No es inusual que los desarrolladores tengan múltiples aplicaciones de prueba que nunca implementarán. Y en muchos casos, los desarrolladores no respondieron a nuestra solicitud de información, por lo que los suspendimos, honrando nuestro compromiso de actuar.
En algunos casos, hemos prohibido aplicaciones en forma absoluta. Eso puede suceder por diferentes razones, incluido el intercambio inapropiado de datos obtenidos de nuestros servicios, haciendo que la información esté disponible públicamente sin proteger la identidad de las personas o cualquier otra acción que sea una violación clara de nuestras políticas. No hemos confirmado otros casos de mal uso que no sean los que ya hemos notificado al público, aunque nuestra investigación aún no está completa. Hemos estado en contacto con reguladores por estos temas. Seguiremos trabajando con ellos a medida que continúe nuestra investigación. Una aplicación que prohibimos se llamaba myPersonality, y compartía información con investigadores y compañías y solo contaba con algunas limitadas protecciones, y rechazó nuestra solicitud de participar en una auditoría.
También hemos tomado medidas legales cuando ha sido necesario. En mayo, presentamos una demanda en California contra Rankwave, una compañía de Corea del Sur, dedicada al análisis de datos que no cooperó con nuestra investigación. Y hemos emprendido acciones contra desarrolladores en otros contextos. Por ejemplo, presentamos una acción contra LionMobi y JediMobi, dos compañías que usaron sus aplicaciones para infectar teléfonos de usuarios con malware para obtener ganancias. Esta demanda es una de las primeras de su tipo en contra de esta práctica. Detectamos el fraude, detuvimos el abuso y reembolsamos a los anunciantes. En otro caso, demandamos a dos ciudadanos ucranianos, Gleb Sluchevsky y Andrey Gorbachov, por usar aplicaciones de prueba para eliminar los datos de los usuarios de nuestra plataforma.
Hemos ido incorporando lo que aprendimos y reexaminamos las formas en que los desarrolladores pueden crear utilizando nuestras plataformas. También hemos mejorado la manera en que investigamos y hacemos valer nuestras normas.
Más allá de esta investigación, hemos realizado mejoras generalizadas a la forma en que evaluamos y establecemos políticas para todos los desarrolladores que utilizan nuestras plataformas. Hemos eliminado varias APIs, los canales que los desarrolladores usan para acceder a distintos tipos de datos. Agrandamos nuestros equipos dedicados a investigar y hacer cumplir nuestras normas en caso de hallar actores maliciosos. Esto nos permitirá, anualmente, revisar cada aplicación activa que tenga acceso a información que esté por encima de la considerada básica. Y cuando encontremos infractores, tomaremos medidas.
También hemos desarrollado nuevas reglas para controlar de manera más estricta el acceso de un desarrollador a los datos de los usuarios. Las aplicaciones que proporcionan una utilidad mínima para los usuarios, como los tests de personalidad, podrían no permitirse en Facebook. Las aplicaciones no pueden solicitar los datos de una persona a menos que el desarrollador los use para mejorar significativamente la calidad de la experiencia. Y también deberá demostrar claramente a los usuarios cómo utilizará esos datos.
Hemos aclarado que podemos suspender o revocar el acceso de un desarrollador a cualquier API que no haya sido utilizada en los últimos 90 días. Y no permitiremos aplicaciones en Facebook que soliciten una cantidad desproporcionada de información en comparación al valor que ofrecen.
El camino a seguir
Nuestro nuevo acuerdo con la FTC (Comisión Federal de Comercio de Estados Unidos) conllevará su propio conjunto de requisitos de supervisión de desarrolladores de aplicaciones. Exigirá que validen anualmente el cumplimiento de nuestras políticas, y quienes no lo hagan, deberán asumir su responsabilidad.
Los desarrolladores de aplicaciones continúan siendo una parte vital del ecosistema de Facebook. Ayudan a que nuestro mundo sea más social y más participativo. Pero la gente debe saber que estamos protegiendo su privacidad. Y estamos progresando en todos los ámbitos. Quizá no detectaremos todo, y parte de lo que identifiquemos necesite ayuda externa a Facebook. Pero nuestro objetivo es sacar a la luz los problemas para que podamos resolverlos rápidamente, anticiparnos a los actores maliciosos y asegurarnos de que las personas puedan seguir disfrutando de experiencias sociales enriquecedoras en Facebook, sabiendo que sus datos están seguros.