Facebook muestra una vista previa de los archivos compartidos a través de Messenger e Instagram, una función que puede comprometer la privacidad de los usuarios según una reciente investigación, pero la compañía asegura que no guarda los datos y que con ella ayuda a proteger a los usuarios frente al ‘malware’.
Los archivos que se comparten a través de Messenger o de los mensajes directos de Instagram generan una vista previa que, según los desarrolladores Tommy Mysk y Talal Haj Bakry, puede suponer riesgos de privacidad y seguridad para los usuarios.
La investigación que han publicado se centra en las vistas previas que se generan en el envío de archivos a través de las aplicaciones de mensajería más populares. Se trata de una función que ellos clasifican en función del nivel de riesgo, desde ningún, en el caso de los enlaces que no generan dicha vista previa, hasta el que consideran menos seguro, cuando es la aplicación la que abre la vista previa.
Como explican, la vista previa que genera la aplicación significa que dicha ‘app’ se conecta con el servidor que lleva al enlace para enviar una solicitud sobre su contenido. «Para que el servidor sepa dónde devolver los datos, la aplicación incluye la dirección IP del teléfono en la solicitud», que puede acabar dando información sobre la ubicación del usuario a un ciberatacante.
No obstante, el problema de Messenger e Instagram se encuentra en un estadio intermedio, según la investigación. En este caso, la aplicación envía el enlace a un servidor externo, al que posteriormente le solicita que genere una vista previa. Es el servidor el que envía la vista previa tanto a la aplicación tanto a emisor como recepto.
Este otro enfoque, en principio, evita el acceso a la dirección IP, pero plantea un problema en el caso de los chats privados, ya que el servidor tendría que hacer una copia, aunque fuese parcial, algo que en principio no es posible con protecciones como la encriptación de extremo a extremo.
Así, los investigadores indican que «las aplicaciones que dependen de servidores para generar vistas previas de enlaces pueden estar violando la privacidad de sus usuarios al enviar enlaces compartidos en un chat privado a sus servidores». E identifican este enfoque en aplicaciones como Hangouts, Zoom, Messenger o Instagram.
La investigación recoge que Messegner «descarga archivos completos si se trata de una imagen o un vídeo, incluso archivos de tamaño gigabytes». Por su parte, Instagram descarga «como Messenger, pero no limitado a ningún tipo de archivo. Los servidores descargarán cualquier cosa sin importar el tamaño».
En respuesta a esta investigación, un portavoz de Facebook ha asegurado que «el comportamiento descrito es cómo se muestran las vistas previas de un enlace en Messenger o cómo las personas pueden compartir un enlace en Instagram, y no almacenamos esos datos». Y señala que este enfoque les «permite proteger a las personas para que no compartan ‘malware'».
Facebook explicó a los investigadores la forma en que sus aplicaciones generan las vistas previas, si bien destacan que la investigación recoge la forma en que se comparte un enlace y no un problema de seguridad, ya que la manera en que lo presentan no tiene en cuenta las medidas adoptadas para proteger a los usuarios.
Se trata de un enfoque, además, que tiene en cuenta la legislación del mercado donde operan las aplicaciones. En este sentido, la vista previa en Messenger e Instagram, para cumplir con el Reglamento General de Protección de la Unión Europea, ha desactivado la opción en los países que se acogen a él, según Mashable.