Parler, el rip-off de Twitter que sirvió como una de las principales herramientas de organización para los fanáticos de Donald Trump que asaltaron el Capitolio de Estados Unidos el 6 de enero, ha estado en gran medida fuera de línea durante más de una semana. Pero incluso en animación suspendida, el hogar en línea preferido por QAnon, los Proud Boys y otros elementos de la extrema derecha estadounidense sigue creando problemas.
Las decisiones de Amazon, Apple y Google de dejar de alojar el sitio y de prohibir a los usuarios de móviles que se descarguen la aplicación han desencadenado gritos de censura de las Grandes Tecnologías. Dejando a un lado la política de la Primera Enmienda y la regulación de Internet, la forma en que Parler ha vertido los datos en su salida plantea serias cuestiones de ciberseguridad, así como preocupaciones sobre si otros actores de Internet tienen violaciones de datos en su futuro.
Aunque es imposible verificarlo sin echar un vistazo bajo la capucha de Parler -una tarea ahora imposible ya que el sitio web está fuera de línea-, la narrativa predominante es que un fallo de seguridad de Parler (o fallos) permitió a un hacker de sombrero blanco descargar y archivar todos los datos de los usuarios de Parler poco antes de que Amazon Web Services retirara el alojamiento del sitio. Entre los datos que se presentaron al público (y a las fuerzas del orden) para acceder a ellos se encontraban, en algunos casos, datos de localización potencialmente incriminatorios.
Parler se basaba en Worpress, el sistema de gestión de contenidos más utilizado del mundo. Esto ha llevado a especular que WordPress era parte del fallo y que cualquiera que usara WordPress estaba en peligro. Sin embargo, según el consenso general de los expertos en ciberseguridad, entre los que se encuentran varios contactados para este artículo, la violación de datos de Parler no se produjo simplemente porque Parler utilizara WordPress. En su lugar, los datos de los usuarios de Parler se filtraron porque el director general John Matze y los arquitectos del sitio dejaron importantes fallos en la API de Parler, el enlace entre el front-end de Parler y sus datos de usuario.
Ver también: Elon Musk culpa a Facebook y a Mark Zuckerberg de los disturbios en el Capitolio
La «creencia predominante» es «que Parler fue un diseño apresurado y pobre impulsado por inversores de derechas para hacerse bastante grande antes de haber construido realmente una base sólida, tecnológicamente hablando», dijo a Observer Andrew Zolides, profesor de comunicación de la Universidad Xavier que imparte cursos de diseño digital. (Entre los inversores de Parler se encuentra la multimillonaria de derechas Rebekah Mercer, que intentó aprovechar el enfado de la derecha con Twitter y Facebook para hacer crecer la audiencia de Parler.)
«Aunque cualquier sitio web tiene sus problemas de privacidad, Parler parece un problema de hacerse demasiado grande, demasiado rápido y no tener la capacidad o los conocimientos técnicos para prepararse realmente para ello», añadió Zolides.
En un avance bienvenido para cualquier persona preocupada por el anonimato o la seguridad en general, otros sitios web pueden evitar la trampa de Parler… siempre que no sean empresas relativamente nuevas y pequeñas que intentan competir con gigantes establecidos como Twitter y Facebook, que es exactamente lo que hizo Parler.
«Sí, Parler podría haber estado mejor diseñado, pero siendo realistas, este es el tipo de problema que ocurre cuando compites contra empresas maduras que han invertido miles y miles de millones de dólares en sus productos», dijo Joseph Steinberg, experto en seguridad y autor de Cybersecurity for Dummies. «Te va a resultar difícil diseñar todo lo que quieres de forma segura».
Google, Apple y Amazon han suspendido la aplicación de redes sociales Parler. Parler dejó de estar disponible en App Store, Google Play y Amazon Web Services, al parecer por no tener suficiente control sobre las publicaciones de los usuarios que alentaban la violencia, según los medios de comunicación. Foto Ilustración de Pavlo Gonchar/SOPA Images/LightRocket vía Getty Images
Primero, el método para el supuesto «hackeo». Antes de que Parler fuera retirado de AWS, un usuario de Twitter con el nombre de usuario @donk_enby descubrió cómo descargar los datos de los usuarios del sitio web, todo lo cual, junto con cualquier otra evidencia muy pública de los usuarios de Parler que irrumpieron en el Capitolio, asaltaron a los oficiales y tramaron más violencia, era potencialmente muy incriminatorio, como informó Gizmodo.
@donk_enby finalmente consiguió 56 terabytes de datos: fotos, vídeos y mensajes de texto, muchos de los cuales incluían algunos metadatos de GPS que situaban a los usuarios de Parler en el Capitolio y sus alrededores el 6 de enero, incluso en zonas seguras. Al menos algunos de estos datos -56.000 gigabytes- se han utilizado para identificar y detener a los participantes en los disturbios, según las declaraciones juradas federales, pero no hay pruebas positivas de que los federales hayan utilizado el tramo de datos de @donk_envy.
¿Pero cómo se hizo? Las primeras especulaciones apuntaban a que @donk_enby u otro hacker podría haber robado las credenciales de administrador de Parler, lo que sería un acto ilegal. La teoría aceptada es que, como informó The Startup y varios expertos en seguridad han esbozado, en su lugar, la propia API de Parler fue utilizada en su contra para archivar los datos del sitio web, y hacerlo rápidamente.
Los diseñadores de Parler no restringieron el acceso a la API requiriendo autenticación. Los usuarios no necesitaban credenciales específicas para acceder a los datos en el back-end. Eso dejaba una enorme puerta trasera abierta.
La mayoría de los sitios web que conocen el protocolo básico de seguridad no permiten el acceso a la API sin alguna forma de autenticación del usuario para asegurar que la solicitud no es maliciosa. Como señaló The Startup, dos soluciones comunes de autenticación son las claves de la API y los «tokens», ambos requieren algunas credenciales válidas que también permiten al sitio web saber quién está accediendo a los datos.
Ningún requisito de autenticación dejó una puerta entreabierta. Además, los diseñadores de Parler no se molestaron en añadir una segunda capa de defensa en forma de limitación de velocidad, lo que significa que, en lugar de una puerta entreabierta o agrietada, la puerta estaba abierta de par en par.
La limitación de velocidad limita la cantidad de datos a los que puede acceder un usuario independientemente de sus credenciales. Es posible que los usuarios de la web hayan visto 429 mensajes de error de «Demasiadas solicitudes», que es una señal de que ha habido demasiados golpes o intentos de pasar por la puerta. Parler tampoco tuvo esto, lo que significó que una vez que se accedió al back end no seguro, @donk_enby también pudo archivar los datos de Parler en 48 horas. (Curiosamente, como señaló The Startup, Amazon Web Service tiene una opción de cortafuegos básico que Parler no parece molestarse en utilizar.)
Por último, Parler también permitió que las publicaciones que sus usuarios creían eliminadas estuvieran disponibles y fueran fácilmente descubiertas una vez que alguien estaba en el back end. Tras los mortíferos disturbios, algunos usuarios de Parler, conscientes de la gran cantidad de pruebas disponibles en la web, animaron a otros a borrar sus mensajes del 6 de enero.
Todos los mensajes de Parler recibían números secuenciales que aumentaban en 1. Incluso cuando esos mensajes eran borrados por el usuario, permanecían en el back end. Al parecer, @donk_enby sólo tuvo que escribir un script muy básico que encontró y archivó cada mensaje, uno por uno. Y como Parler no se molestó en eliminar los datos geoetiquetados de las fotos, vídeos y posts antes de subirlos, esa información también estaba allí esperando a ser archivada.
Es posible que otros sitios web que utilizan WordPress u otro software de alojamiento en conjunto tengan fallos de seguridad similares, pero también es posible que no sean lo suficientemente famosos como para que esos fallos de seguridad se conviertan en el interés de los hackers vigilantes y, por lo tanto, sean vulnerados.
«No es raro que los sitios web tengan fallos de seguridad, a veces importantes, que pasan desapercibidos porque no son lo suficientemente populares como para atraer más que simples intentos, a menudo automatizados, de comprometerlos», dijo Erich Kron, un experto en seguridad de KnowBe4, una destacada firma de soluciones de seguridad. «Cuando el sitio se hace popular rápidamente, el enfoque y la complejidad de estas pruebas aumentan, lo que a menudo lleva a que se descubran vulnerabilidades»
Un ejemplo reciente de este fenómeno, dijo Kron, fue Zoom. Cuando la pandemia de COVID-19 hizo que todo el trabajo fuera remoto, se descubrieron los fallos de seguridad de Zoom que no se habían detectado anteriormente, se explotaron y se parchearon rápidamente. Pero en el caso de Parler, cuando los proveedores de seguridad empezaron a deshacerse de su antiguo cliente, «dejó a Parler vulnerable en un momento en el que también era un objetivo de los atacantes, los hacktivistas y otros», añadió Kron.
Parler no está muerto del todo. Durante el fin de semana, una versión de Parler volvió a aparecer en los mismos servidores web que alojan otros sitios marginales que acogen discursos de odio. A partir del martes por la noche, la página de inicio del sitio es una página de aterrizaje de «dificultades técnicas»; el fundador del sitio, John Matze, dijo a Fox News que el sitio web planea ser completamente funcional a finales de mes (aunque los usuarios de móviles probablemente estarán atascados usando la versión basada en la web en lugar de una aplicación). Y hay otros hogares para la extrema derecha en línea, aunque, como señaló Zolides, los foros centrados en la «libertad de expresión», como Gab, han sido más proactivos con la moderación de contenidos que Parler.
Todavía pueden surgir más detalles sobre cómo accedió exactamente @donk_enby a los datos de Parler y si la teoría de la «puerta abierta» fue exactamente lo que ocurrió. (Y aparte de la cuestión de la ciberseguridad están las cuestiones de ética; violación o hackeo, los datos de los usuarios de Parler fueron robados, como dijo Steinberg, y un robo no es nada para celebrar.)
Suponiendo que los datos de Parler fueran robados por un mal diseño, por ahora, la historia en línea del 6 de enero es una de autoincriminación repetida: alborotadores desenmascarados deambulando por el Capitolio de EE.UU., discutiendo alegre y abiertamente sus planes adicionales frustrados, publicando evidencia incriminatoria en Internet todo el tiempo, en un sitio web que no estaba preparado para mantener esa evidencia anónima o segura.