La firma de marketing Hyp3r, uno de los "socios de confianza" de Instagram, se saltó las reglas de la red social y obtuvo los datos de millones de usuarios sin su permiso. El objetivo era crear perfiles detallados de estos usuarios para sus campañas de publicidad en la red.

Hyp3r es una startup basada en San Francisco dedicada al marketing, y como tal, considera la información de los usuarios muy valiosa; gracias a estos datos puede organizar nuevas campañas personalizadas, que apelen mejor a posibles clientes. Esto no es nada raro, lo interesante es que Hyp3r se habría aprovechado de las laxas políticas de privacidad de Instagram para obtener una ingente cantidad de datos.

Entre estos datos se encuentra la geolocalización de los usuarios, obtenida por su smartphone ya sea por GPS o por otros métodos como redes Wi-Fi públicas. Además, también se recopiló información sacada de los perfiles y publicaciones de los usuarios, incluidas las fotos.

Rastrear a usuarios de Instagram era posible

Lo llamativo de este caso es que normalmente esta información sólo debería estar disponible durante 24 horas para este tipo de compañías; pero Hyp3r pudo saltarse esta limitación "en las narices" de Instagram, por culpa de lo que la compañía ha definido como un "error de configuración".

Gracias a este error, y a la falta de supervisión real de parte de Instagram, la firma llevaba ya un año registrando información de cientos de millones de usuarios de todo el mundo. Todo empezó cuando en 2018 Facebook cambió la API de acceso usada por los desarrolladores para conectar con la plataforma de Instagram; hizo esto en respuesta al escándalo de Cambridge Analytica.

Para empresas como Hyp3r, que dependen en exclusiva de la cantidad de datos que tienen, fue un duro golpe. Así que la compañía decidió saltarse estas limitaciones, desarrollando herramientas que se aprovechaban, entre otras cosas, a las "ubicaciones" de Instagram, abiertas a cualquiera incluso aunque no tengan cuenta. Las herramientas recopilaban los datos si el usuario los había subido a su cuenta desde una de las miles de localizaciones y regiones monitorizadas en tiempo real.

Sin embargo, hay que destacar que Hyp3r sólo recopilaba datos que se habían hecho públicos por los propios usuarios, y no registraba mensajes privados, por ejemplo. Sin embargo, sí que recopiló contenido de las historias de Instagram, que se borra pasadas las 24 horas pero que se mantenían en los servidores de la firma de marketing.

Todo esto se hacía sin conocimiento de Instagram, que aparentemente no tenía ningún tipo de control sobre la cantidad de datos obtenidos de esta manera. Después de conocer este esquema, Instagram ha expulsado a Hyp3r de su plataforma y ha cerrado el "agujero", aunque no está claro si más empresas tuvieron la misma idea. Por su parte, Hyp3r se ha defendido ante Business Insider, afirmando que sus empleados sólo ven contenido que ya era público.