Ayer, la sala de redacción independiente ProPublica publicó un artículo detallado que examina los reclamos de privacidad de la popular plataforma de mensajería WhatsApp. El servicio ofrece un famoso «cifrado de extremo a extremo», que la mayoría de los usuarios interpretan como que Facebook, el propietario de WhatsApp desde 2023, no puede leer los mensajes por sí mismo ni reenviarlos a las fuerzas del orden.
Esta afirmación se contradice con el simple hecho de que Facebook emplea alrededor de 1,000 moderadores de WhatsApp cuyo trabajo es, lo adivinaste, revisar los mensajes de WhatsApp que han sido marcados como «inadecuados».
Cifrado de extremo a extremo, pero ¿qué es un «extremo»?
La laguna en el cifrado de extremo a extremo de WhatsApp es simple: el recipiente de cualquier mensaje de WhatsApp puede marcarlo. Una vez marcado, el mensaje se copia en el dispositivo del destinatario y se envía como un mensaje separado a Facebook para su revisión.
Los mensajes generalmente se marcan y revisan por las mismas razones que lo harían en Facebook, incluidas las denuncias de fraude, spam, pornografía infantil y otras actividades ilegales. Cuando el destinatario de un mensaje marca un mensaje de WhatsApp para su revisión, ese mensaje se agrupa con los cuatro mensajes anteriores más recientes en ese hilo y luego se envía al sistema de revisión de WhatsApp como archivos adjuntos a un ticket.
Aunque nada indica que actualmente Facebook recopile los mensajes de los usuarios sin que intervención manual por parte del destinatario, vale la pena señalar que no hay ninguna razón técnica para que no pueda hacerlo. La seguridad del cifrado «extremo a extremo» depende de los propios puntos finales y, en el caso de una aplicación de mensajería móvil, eso incluye la aplicación y sus usuarios.
Una plataforma de mensajería encriptada de «extremo a extremo» podría elegir, por ejemplo, realizar un escaneo de contenido automatizado basado en IA de todos los mensajes en un dispositivo y luego reenviarlos. automáticamente mensajes marcados a la nube de la plataforma para acciones adicionales. En última instancia, los usuarios centrados en la privacidad deben confiar en las políticas y la confianza de la plataforma tanto como lo hacen en las viñetas tecnológicas.
Moderación de contenido con cualquier otro nombre
Una vez que llega un ticket de revisión al sistema de WhatsApp, se ingresa automáticamente en una cola «reactiva» para que los trabajadores contratados humanos lo evalúen. Los algoritmos de IA también introducen el ticket en colas «proactivas» que procesan metadatos no cifrados, incluidos nombres e imágenes de perfil de los grupos de usuarios, número de teléfono, huellas dactilares del dispositivo, cuentas relacionadas de Facebook e Instagram, y más.
Los revisores humanos de WhatsApp procesan ambos tipos de cola, reactiva y proactiva, para denuncias o sospechas de infracciones de políticas. Los revisores solo tienen tres opciones para un ticket: ignorarlo, colocar la cuenta de usuario en «vigilancia» o prohibir la cuenta de usuario por completo. (Según ProPublica, Facebook usa el conjunto limitado de acciones como justificación para decir que los revisores no «moderan el contenido» en la plataforma).
Aunque los moderadores de WhatsApp, perdónanos, revisores—tienen menos opciones que sus contrapartes en Facebook o Instagram, enfrentan desafíos similares y tienen obstáculos similares. Accenture, la empresa con la que Facebook contrata para moderación y revisión, contrata trabajadores que hablan una variedad de idiomas, pero no todos idiomas Cuando los mensajes llegan en un idioma que los moderadores no conocen, deben confiar en las herramientas de traducción automática de idiomas de Facebook.
«En los tres años que he estado allí, siempre ha sido horrible», dijo un moderador a ProPublica. La herramienta de traducción de Facebook ofrece poca o ninguna orientación sobre la jerga o el contexto local, lo que no sorprende dado que la herramienta suele tener dificultades incluso para identificar el idioma de origen. Una empresa de afeitado que vende navajas de afeitar puede ser etiquetada erróneamente como «vendedora de armas», mientras que un fabricante de sujetadores puede ser catalogado como un «negocio de orientación sexual».
Los estándares de moderación de WhatsApp pueden ser tan confusos como sus herramientas de traducción automática; por ejemplo, las decisiones sobre pornografía infantil pueden requerir comparar los huesos de la cadera y el vello púbico de una persona desnuda con un cuadro de índice médico, o las decisiones sobre violencia política pueden requerir adivinar si una persona aparentemente amputada. la cabeza en un video es real o falsa.
Como era de esperar, algunos usuarios de WhatsApp también usan el propio sistema de alerta para atacar a otros usuarios. Un moderador le dijo a ProPublica que «tuvimos un par de meses en los que AI estaba prohibiendo grupos de izquierda a derecha» porque los usuarios en Brasil y México cambiaban el nombre de un grupo de mensajería a algo problemático y luego reportaban el mensaje. «En el peor de los casos», recordó el moderador, «probablemente obtuvimos decenas de miles de esos. Descubrieron algunas palabras que no le gustaron al algoritmo».
Metadatos sin cifrar
Aunque el cifrado «de extremo a extremo» del contenido de los mensajes de WhatsApp solo puede ser subvertido por los propios dispositivos del remitente o del destinatario, una gran cantidad de metadatos asociados con esos mensajes es visible para Facebook, y para las autoridades policiales u otros que Facebook decide compartir. con—sin tal advertencia.
ProPublica encontró más de una docena de casos en los que el Departamento de Justicia buscaba metadatos de WhatsApp desde 2023. Estas solicitudes se conocen como «órdenes de registro de llamadas», terminología que data de solicitudes de metadatos de conexión en cuentas de teléfonos fijos. ProPublica señala correctamente que esta es una fracción desconocida del total de solicitudes en ese período de tiempo, ya que muchas de esas órdenes y sus resultados están sellados por los tribunales.
Dado que los pedidos de pluma y sus resultados con frecuencia están sellados, también es difícil decir exactamente qué metadatos entregó la empresa. Facebook se refiere a estos datos como «Pares de mensajes prospectivos» (PMP): nomenclatura dada a ProPublica de forma anónima, que pudimos confirmar en el anuncio de un curso de enero de 2023 ofrecido a los empleados del Departamento de Justicia de Brasil.
Aunque no sabemos exactamente qué metadatos están presentes en estos PMP, sabemos que son muy valiosos para las fuerzas del orden. En un caso particularmente destacado de 2023, la denunciante y exfuncionaria del Departamento del Tesoro Natalie Edwards fue condenada por filtrar informes bancarios confidenciales a BuzzFeed a través de WhatsApp, que creía incorrectamente que era «seguro».
La agente especial del FBI, Emily Eckstut, pudo detallar que Edwards intercambió «aproximadamente 70 mensajes» con un reportero de BuzzFeed «entre las 00:33 y las 00:54» del día siguiente a la publicación del artículo; los datos ayudaron a asegurar una condena y una sentencia de prisión de seis meses por conspiración.
