Imagen: Jan Kristoffersen, Flickr, publicada con CC BY-NC-SA 2.0 // Collage por Runet Echo.
Mientras que las investigaciones sobre las interferencias en las elecciones están a pleno vigor en Estados Unidos, las empresas de redes sociales se están viendo obligadas a encontrar formas nuevas y rápidas de identificar en sus plataformas bots y troles relacionados con el Gobierno, sobre todo con el Gobierno ruso.
El 10 de abril, Reddit anunció [1] sus planes para publicar una lista de cuentas [2] que la empresa sospechaba que tenían relación con la Agencia de Investigación de Internet de Rusia, conocida como “fábrica de troles”. Los equipos en plantilla de Reddit, “Trust & Safety” (Confianza y Seguridad) y “Anti-Evil” (Antimaldad), identificaron estas cuentas en cooperación con una amplia investigación del Congreso de los Estados Unidos sobre la interferencia electoral en las redes sociales.
De esta forma, muchos usuarios fueron expulsados de la plataforma, aunque no todos tenían una relación demostrable con el Kremlin.
El 12 de abril, un usuario que perdió su cuenta rogó a Reddit que revisara su trabajo:
oi @reddit [3] check your admin's inbox on the website. your recent list of 944 suspicious users has 3 of my accounts and none of them are «Russian bots» or «Russian trolls». I just happen to be from Russia. UNBAN ME.
— ☆ (@ajcrwl) 12 апреля 2018 г. [4]
Oye, Reddit, comprueba el buzón del administrador de tu página web. Tres cuentas mías están incluidas en tu reciente lista de 944 usuarios sospechosos y ninguna es un “bot ruso” o un “trol ruso”. Solo da la casualidad de que soy de Rusia. DESBLOQUÉAME.
La estrategia de Reddit para conseguir una rápida solución para la caza de bots parece haber arrastrado a varias víctimas inocentes. Para este usuario, parece que lo “sospechoso” sobre sus cuentas era su localización: Rusia.
¿Cómo ha sido posible? Usando textos Python personalizados y herramientas de investigación de código abierto, decidí investigar estas cuentas en un intento por entender qué llevó a este resultado.
Al principio, pude ver que la distribución de sus fechas de creación era la típica de una producción intensa de una fábrica de troles: un período general de registros entre mayo de 2015 y octubre de 2016, con unos picos altos de actividad entre mayo y julio de 2015.
Histograma que muestra el período de creación de las cuentas sospechosas en Reddit. Imagen de Lawrence Alexander.
Este descubrimiento no fue sorprendente, pero sí una posible razón por la que las cuentas desencadenaron el sistema.
Lo siguiente que quería comprobar era si los nombres de usuario de Reddit habían sido reutilizados en otras redes sociales. Ejecuté un texto para consultar si coincidían las cuentas en Twitter y en la red social rusa Vkontakte (VK). Aunque VK no dio, apenas, resultados interesantes, probablemente de casualidad, había 106 nombres de usuarios activos en Twitter.
Al examinar estas cuentas de Twitter, dos mostraron una posible relación que apuntaba a la fábrica de troles del IRA de Savushkina 55 (a finales de 2017 su oficina se trasladó a una dirección diferente en San Petersburgo).
La primera era @shomyo, perfil incompleto con el nombre “john Doe”. Las seis siguientes eran en su mayoría rusas, como la cuenta del equipo de fútbol de San Petersburgo, que no estaba en uso.
Cuenta de Twitter de @shomyo. Imagen de Lawrence Alexander.
El segundo ejemplo apuntaba de una forma más significativa a la Agencia de Investigación de Internet, pero estaba inactiva desde 2015. @rapitangnyy, con un enlace a una cuenta de LiveJournal afin al Kremlin [5], tuiteó enlaces a blogs patrióticos [6] similares. Además, este alias estaba incluido en una lista de cuentas del IRA filtrada [7] ese año por Lyudmila Savchuk [8], exinfiltrada del IRA. Es bastante posible que Reddit usara esta lista para extraer algunos indicadores para su investigación. También ese año publiqué mi análisis [9] de contenido similar afín al Kremlin en LiveJournal.
rapitangnyy, cuenta de Twitter de la Agencia de Investigación de Internet. Imagen de Lawrence Alexander.
La cuenta de Reddit [10] (archivo [11]) rapitangnyy se usó en gran medida para promocionar en LiveJournal entradas de blog en ruso y la mayoría tenían contenido en contra de Ucrania y Occidente. Ha estado inactiva durante dos años. Por lo tanto, esta es, sin ninguna duda, una fábrica de troles rusa, pero no se utilizó en contra de Estados Unidos en las elecciones.
Rapitangnyy – Cuenta de Reddit de la Agencia de Investigación de Internet. Imagen de Lawrence Alexander.
Los descubrimientos más notables en mi búsqueda entre los usuarios “sospechosos” de Reddit quizá fueron los que probablemente no eran productos de una fábrica de trol.
Entre las cuentas rusas con el mismo nombre en Twitter, se encuentra @ajcrwl [12], usuario que indica como localización “Atascado en Omsk”. Su página web [13] estaba dedicada al arte digital y al diseño gráfico.
Estaba intrigado: ¿podría ser un empleado remoto de la infame fábrica de troles de San Petersburgo que fabrica memes contra los estadounidenses de forma muy laboriosa? ¿Reveló su identidad al reutilizar imprudentemente el mismo nombre de usuario en varias plataformas? Como demostró el trabajo previo de RuNet Echo [14], no sería nuevo.
No obstante, después de más investigaciones y verificaciones, esta posibilidad parecía menos y menos probable. Aunque la cuenta de Reddit /u/Ajcrwl [15] se creó en octubre de 2016, durante el período de más actividad de troles, esa misma cuenta no mostró ningún signo de actividad contra Estados Unidos o afín al Kremlin. En cambio, había publicaciones sobre el cultivo de rosas y el videojuego Dishonored 2.
ajcrwl, al que he visto antes tuiteando en Reddit, no actuaba como culpable. Contacté con él al día siguiente para saber cómo sus cuentas terminaron en el radar de Reddit durante la investigación.
“No creo que nadie de Reddit se molestara en comprobar [mi cuenta/s)] fuera de Reddit”, dijeron.
Cuando le pregunté si habían usado alguna vez VPN o interactuado con la plataforma de una forma inusual, escribió:
Sometimes I use a VPN connection, and I think I've been flagged in January when I deactivated one of my Reddit accounts and immediately created another. There's a chance I logged into the third one back then as well. I've also been logged into two accounts from my phone.
A veces uso una conexión VPN y creo que fui marcado en enero cuando desactivé una cuenta en Reddit y, de forma inmediata, creé una nueva. Es posible que también hubiera entrado, entonces, en la tercera. También he entrado a dos cuentas desde mi móvil.
ajcrwl compartió conmigo voluntariamente el número AS (código que identifica un rango de direcciones de IP usadas por un proveedor de servicios particular) y las direcciones VPN que había usado antes del bloqueo (ubicadas en Londres, Polonia y Atlanta). Ninguna coincide con las infraestructuras que tengo en mi archivo (mis registros, de código abierto, son consistentes pero no exhaustivos) relacionadas con la Agencia de Investigación de Internet, RIA FAN o las direcciones de IP de los foros de troles asociados.
Parece más probable que el uso de VPN de ajcrwl, junto con la actividad de tres cuentas, activara la trampa de Reddit.
El 17 de abril, volví a la lista de cuentas sospechosas de Reddit y descubrí que ajcrwl y tres cuentas más habían sido eliminadas de la lista y desbloqueadas. Ajcrwl me confirmó que dos de esas cuentas también le pertenecían.
La cuarta cuenta pertenecía a Robby Delaware, estadounidense que vive en Georgia que fue entrevistado [16] anteriormente por VICE's Motherboard, en noviembre de 2017, después de que su cuenta de Twitter [17] con un alias idéntico quedara inesperadamente bloqueada.
A pesar de esta publicidad y esta aparente justificación, me di cuenta el 9 de mayo de que la cuenta de Twitter de Delaware se bloqueó por “actividad inusual”.
Cuenta de Twitter de RobbyDelware, bloqueada por «actividad inusual». Imagen de Lawrence Alexander.
El mismo día, ajcrwl también descubrió, para su disgusto, que su bloqueo en Reddit parecía perseguirlo en Twitter:
Twitter has just locked me for «automated behavior» for no reason at all.
Unlocked easily, but I thought I should log this.— ☆ (@ajcrwl) 9 de mayo de 2018 [18]
Twitter me acaba de bloquear por «comportamiento automático» sin ninguna razón. Se desbloqueó fácilmente, pero pensé que debía publicar esto.
Gracias a un mayor análisis, descubrí que Twitter había actuado de igual manera contra casi todas las 106 cuentas cuyos nombres de usuarios coincidían con la lista “sospechosa” de Reddit, como @LGBTUnited, promotor ahora inactivo de temática LGBTQ con ninguna conexión aparente con la página de fábrica de troles [19] del mismo nombre. Algunas otras cuentas bloqueadas en el momento de escribir este artículo incluían, aparentemente, personas reales con ningún vínculo obvio con Rusia, como @hcaner, pirata informático de Brasil.
No obstante, algunas cuentas que parecían falsas o que propagaban spam, como @Meepopeep [20] o @LaserAthletics [21], tuvieron otro destino. Twitter parecía estar usando la primera revisión de la lista de “sospechosos” de Reddit como su principal indicador, con poca o ninguna verificación.
Me puse en contacto con Robby Delaware y le expliqué que su cuenta @robbydelaware, en la que no había tuiteado desde octubre de 2017, había sido bloqueada.
En la conversación, supe que Delaware fue uno de los primeros usuarios de Twitter que llamó la atención sobre un primer intento de la Agencia de Investigación de Internet de manipular al público de Estados Unidos en 2014, acciones que finalmente pudieron contribuir al bloqueo en ambas plataformas.
Cuando se dio cuenta de alguna actividad inusual en la etiqueta #ColumbianChemicals (químicos de Columbia), se lo notificó al equipo de seguridad de Twitter:
.@twittersecurity [22] There's a bogus #ColumbianChemicals [23] tag (along with others) flooding twitter about fake chem. plant explosion.
— Robby Delaware (@RobbyDelaware) 11 de septiembre de 2014 [24]
@twittersecurity Existe una etiqueta falsa de #ColumbianChemicals (junto con otras) que inunda Twitter de información falsa sobre una explosión en una planta química.
Al año siguiente, New York Times [25] reveló la actividad de bots y troles en #ColumbianChemicals como una campaña relacionada con el IRA. Sin embargo, Delaware lo supo [26] nada más verlo, incluso publicó sus indagaciones en pastebin [27] (también publicó como iPad_App_Bugs).
This is me. I wrote down some of this stuff in a PasteBin post in 2014: https://t.co/J3H7hHPqv2 [28] The goofy videos were from that day.
PasteBin post has around 100 Twitter accounts that were involved also.
— iPad Mini Bugs (@iPad_App_Bugs) 2 de marzo de 2018 [29]
@iPad_App_Bugs = @Robby_Delaware
———–
Soy yo. Escribí algo de esto en una entrada de PasteBin en 2014. Los vídeos ridículos son de ese día.
La publicación de PasteBin tiene como cien cuentas de Twitter que también estaban involucradas.
Delaware tiene la extraña distinción de haber sido bloqueado en Twitter y después desbloqueado; bloqueado en Reddit y luego desbloqueado; y bloqueado una vez más en Twitter por intentar llamar la atención, aparentemente, hacia la campaña a favor del Kremlin.
Ninguna empresa le dio explicaciones, solo Reddit le envió un mensaje para notificarle que su cuenta había sido restaurada.
Notificación de Reddit a Robby Delaware de su desbloque. Imagen cortesía de Robby Delaware.
A diferencia de ajcrwl, Delaware me dijo que nunca había utilizado VPN, sino un proveedor normal de servicios de internet de Georgia, su estado de residencia. Es posible que una IP de Georgia, junto con la actividad acerca de la etiqueta asociada a la campaña de la fábrica de troles, activara los algoritmos de Twitter. No obstante, una rápida inspección manual aclararía por qué Delaware utilizó la etiqueta:
I do believe that Twitter used the most basic methods of automation to flag my account. I believe that the Columbian Chemicals hashtag, along with 3 tweets in Russian language, caused my account to be flagged.
Creo que Twitter usó los métodos más básicos de automatización para bloquear mi cuenta. Creo que la etiqueta sobre químicos de Columbia y los tres tuits en ruso fueron la razón por la que mi cuenta fue bloqueada.
Delaware publicó siete tuits en ruso desde su cuenta original, como indica la etiqueta “ru” en los metadatos de sus tuits, pero eran satíricos o políticamente neutros, no a favor del Kremlin realmente. Además, también retuiteó un tuit [30] del periodista Dmitriy Smirnov, del periódico afín al Kremlin Komsomolskaya Pravda, que mostraba una reunión de Vladimir Putin y el anterior presidente de Kirguistán, Almazbek Atambayev. No obstante, el contexto es importante, ya que este hecho aislado no indica que Delaware sea simpatizante de sus políticas.
Estos dos estudios de caso sugieren que, mientras algunos esfuerzos de desinformación de Reddit y Twitter parecen tener bastante éxito, su estrategia dejó un importante daño colateral para un grupo aparentemente pequeño de usuarios corrientes.
Se puede ver muchas razones por las que Reddit y Twitter compartirían esta información, aplicando la automatización o usando las mismas fuentes para obtener los indicadores de actividad sospechosa. No obstante, es sorprendente que puedan hacer esto sin interpretar de forma crítica la información con análisis técnicos adicionales, verificaciones manuales o investigaciones de código abierto. Con este relativamente reducido número de cuentas, habría sido posible un escrutinio individual por parte de investigadores humanos.
Esta estrategia habría reducido el índice de bloqueos incorrectos y aumentado la confianza del usuario en la lucha contra la desinformación, y hubiera reducido el riesgo de que los medios afines al Kremlin sacaran provecho de estos errores menores y mostraran que las investigaciones son infundadas o ilegítimas.