WASHINGTON, DC - Los estudiantes de secundaria en Maryland han hecho lo que los expertos en privacidad han intentado hacer durante años. Han descubierto cómo confundir Instagram para que no pueda rastrearte y ni siquiera pueda decir quién eres.

En una presentación en la conferencia de hackers ShmooCon aquí el fin de semana pasado, Samantha Mosley, estudiante de tercer año en una escuela secundaria del área de Baltimore, y su padre Russell Mosley describió cómo Samantha y sus amigos establecieron una forma de "ofuscación cooperativa" al iniciar sesión en los cuentas.

"Múltiples usuarios en la misma cuenta que les gustan diferentes cosas confunden a Instagram", dijo Samantha. "No sabe dónde estás ni qué te gusta".

Debido a que los servicios de redes sociales utilizan su dispositivo, ubicación y sistema operativo (además de muchos otros factores) para crear perfiles de usuario, múltiples entradas en la misma cuenta inundarán los rastreadores con datos engañosos y harán un desastre en Instagram perfilado. Literalmente no sabrá cuál de los muchos usuarios es usted.

Este no es el primer ejemplo de ofuscación cooperativa. Russell Mosley citó un libro reciente llamado "Ofuscación: una guía del usuario para la privacidad y la protesta"que documentó cómo los grupos terroristas y criminales intercambian tarjetas SIM entre sus propios miembros para derrotar el rastreo de teléfonos, y cómo los compradores de tarjetas de lealtad intercambian tarjetas para evitar ser rastreados por los minoristas.

Pero a estos niños de Maryland se les ocurrió este sistema para derrotar el seguimiento de las redes sociales por su cuenta. Como señaló un miembro de la audiencia después de la presentación, cada intento anterior de camuflar el comportamiento del usuario en redes sociales al inundar el servicio con datos falsos ha intentado proteger una sola cuenta y, por lo general, ha ha fallado.

Nadie hasta ahora parece haber pensado en usar datos reales de un grupo de usuarios que trabajan juntos para proteger docenas de cuentas de redes sociales.

Rinsta, finsta y otros términos que las personas mayores no conocen

Uno pensaría que los servicios de redes sociales saben quién es usted de todos modos por su perfil de usuario. Pero el hecho es que muchas personas tendrán varios perfiles en un solo servicio y, a menudo, no usarán sus nombres reales.

Samantha dijo que ella y sus amigos saben que los futuros empleadores e incluso las oficinas de admisión a la universidad mire sus cuentas de redes sociales, por lo que cada uno tiene varias cuentas de Instagram para servir diferentes propósitos.

"Estos pueden ser términos que los adultos no conocen", dijo, explicando que todo el mundo tiene un "rinsta" o Cuenta de Instagram "real" con tu nombre real y que puedan ver extraños, escuelas y futuros empleadores.

Luego está la cuenta de Instagram "divertida" o "falsa", o "finsta", donde publicas cosas tontas y potencialmente embarazosas para tus amigos. Solo tus amigos saben que eres tú. Después de eso, es posible que tenga cuentas de Instagram especializadas para su familia o para intereses dedicados, como el activismo social, la música, la escalada, etc.

Destacándose entre la multitud

Ahora, con todas esas cuentas diferentes, en su mayoría seudónimas, no querrás que Instagram o terceros puedan vincularlas todas a una persona real. Pero eso es exactamente lo que sucede con los metadatos que se recopilan y que son en gran medida invisibles para el usuario.

Hay suficiente información de identificación única en su teléfono inteligente o computadora para dejar en claro quién está publicando en qué cuentas y para averiguar cuántas cuentas pertenecen a una sola persona.

"Hay más metadatos de los que la gente cree", dijo Russell Mosley. "¿Saben cuántos factores identificativos detecta Twitter con cada tweet que envían? Está entre 140 y 150 ".

"Un algoritmo de aprendizaje puede identificarte como un individuo entre 10,000 personas, simplemente de los metadatos de Twitter ", dijo. Agregó que los metadatos ahora se combinan con el reconocimiento de imágenes, lo que ha llegado al grano. donde "puedes buscar tus fotos en un iPhone buscando" pelota "o" coche "y funciona bastante bien."

Instagram recopila este tipo de metadatos y, lo que es peor, otras personas a veces pueden acceder a ellos.

En noviembre de 2019, Apple eliminó una aplicación de iOS llamada Like Patrol que extrajo información de su perfil de Instagram para permitir que otros usuarios monitoreen con quién interactuó.

Incluso podría pagar para recibir una notificación cada vez que a una persona a la que se dirigía le gustaba o comentaba la publicación de otra persona, y usted También podría saber si una persona con la que interactuó su objetivo en Instagram era hombre o mujer, perfecto para los celos. amantes.

El mes anterior, en octubre de 2019, Instagram había eliminado su pestaña "Siguiendo", que mostraba a los usuarios qué publicaciones seguían sus amigos, les gustaba y comentaban.

Eso suena bastante inocente, pero como BuzzFeed informó, permitió que "un sacerdote católico [notó] a un compañero sacerdote que le gustaban las fotos de estrellas porno gay en Instagram" y "una madre [notó] al esposo de otra mamá que le gustaban las fotos de modelos en bikini".

De ahí el deseo de tener cuentas de Instagram anónimas y de un método para derrotar la recopilación de metadatos de identificación.

Experimentos elementales

Samantha y sus amigas no empezaron tratando de disfrazar sus actividades en Instagram. Su sistema comenzó cuando ella y un grupo de niños del vecindario comenzaron un equipo de FIRST Lego League mientras estaban en la escuela primaria, compitiendo para desarrollar programas y robots de Lego Mindstorms.

"Se conocieron en nuestro sótano", dijo Russell Mosley a Tom's Guide en una entrevista después de la presentación.

Los niños crearon una cuenta grupal de Instagram para su equipo y notaron algo interesante. La cuenta le presentaría diferentes recomendaciones similares, feeds de diferentes personas y diferentes pestañas según quién haya accedido más recientemente a la cuenta.

Los miembros masculinos y femeninos del grupo generarían resultados diferentes. Instagram claramente estaba adaptando la experiencia para diferentes usuarios, incluso en la misma cuenta.

Entonces, los niños comenzaron a experimentar con iniciar sesión en las cuentas de los demás para ver si eso también cambiaba las cosas. Lo hizo. Luego se dieron cuenta de que si lo hacían con la suficiente frecuencia y de forma deliberadamente aleatoria, Instagram no podría descubrir quiénes eran.

Podían decir que sus métodos funcionaban yendo a la etiqueta de búsqueda de Instagram. Las imágenes que aparecieron antes de buscar algo cambiaron dependiendo de quién había accedido a la cuenta más recientemente. También lo hicieron las etiquetas sugeridas en la parte superior de la pantalla: "Animales", "Comida", "Televisión y películas", "Naturaleza", "Juegos", etc.

Puedes hacer esto sin compartir contraseñas

Hoy, Samantha y sus amigas manejan alrededor de 100 cuentas de Instagram de esta manera. Ella le dijo a Tom's Guide que el número de participantes varía porque algunas personas se van de vacaciones y otras personas abandonan o ingresan al grupo, pero el grupo ha crecido para incluir usuarios de Instagram en otros estados y países.

La forma en que funciona es bastante simple. Cada usuario tiene varias cuentas de Instagram y comparte el acceso a cada una con algunos otros usuarios, pero no los mismos usuarios para cada cuenta.

Por lo tanto, si el usuario 1 tiene la cuenta A, B y C, compartirá la cuenta A con los usuarios 3, 6 o 7, la cuenta B con los usuarios 2, 8 y 12 y la cuenta C con los usuarios 6, 8 y 10. Otros usuarios hacen lo mismo.

Ni siquiera tiene que compartir contraseñas para hacer esto. Samantha y sus amigos descubrieron que puede configurar Instagram para guardar su información de inicio de sesión en un dispositivo para que no tenga que usar una contraseña nuevamente en ese dispositivo.

(Para hacer esto, vaya a su perfil de usuario, toque el ícono de menú de tres líneas en la esquina superior derecha, toque el ícono de Configuración en la parte inferior derecha, toque Seguridad, luego toque Información de inicio de sesión guardada).

Una vez que haya hecho eso, puede decir que perdió su contraseña y enviar una solicitud de cambio de contraseña. Instagram te enviará un enlace para restablecer la contraseña, pero en lugar de usar el enlace, se lo envías a un amigo para que pueda usar el enlace.

De esa manera, su amigo puede establecer su propia contraseña para su cuenta y ambos mantienen el acceso.

Una red de confianza

Por supuesto, esto no funciona si tiene Autenticación de dos factores de Instagram encendido. Y requiere confianza implícita entre todos los miembros, porque una vez que alguien tenga acceso a su cuenta, podría secuestrarla y bloquearlo. Por supuesto, podrías hacerles lo mismo.

Debido a esto, el grupo de Samantha examina a todos los posibles nuevos miembros antes de que puedan unirse. Si alguien se porta mal, puede expulsarlo de su cuenta cambiando la configuración a inicios de sesión olvidados del dispositivo y luego restableciendo la contraseña sin compartir el enlace de correo electrónico. La mala conducta crónica puede ser castigada con la expulsión del grupo.

Su grupo tiene reglas. Puede publicar en las cuentas de otras personas solo cuando se le solicite. Y no puede vincular ninguna cuenta a cuentas en otros servicios de redes sociales, porque entonces su cobertura podría arruinarse.

"Permitimos que a cualquiera le gusten las publicaciones relevantes" en las cuentas de otras personas, dijo Samantha. "Pero le pedimos a la gente que evite seguir las solicitudes".

Gestión constante

Después de su presentación, Samantha le dijo a Tom's Guide que hacer todo esto no es fácil. No puede simplemente configurar varios inicios de sesión y luego olvidarse de ello.

En cambio, todo el sistema debe gestionarse de forma cuidadosa y constante. Samantha explicó que ella y algunos otros niños son gerentes que realizan un seguimiento de quién ha iniciado sesión en qué cuentas. Los arreglos de acceso a la cuenta deben cambiarse periódicamente para que las mismas personas no permanezcan conectadas a las mismas cuentas durante mucho tiempo.

Dijo que los gerentes interactuarán con todos los usuarios de su grupo, para que los usuarios individuales puedan solicitar la frecuencia con la que se cambian sus cuentas.

Samantha dijo que su grupo de ocultación de Instagram era el único que conocía, aunque cree que algunos miembros en lugares distantes pueden estar rompiendo y formando nuevos grupos.

Tom's Guide le preguntó a Samantha si tal ofuscación cooperativa podría usarse de manera efectiva en otras plataformas de redes sociales como, por ejemplo, Facebook.

"No lo sé", respondió ella. "No usamos Facebook".

  • Cómo evitar que Instagram comparta su estado de actividad
  • 8 características ocultas de la historia de Instagram que debes conocer
  • Cómo activar el modo oscuro de Instagram en iOS y Android