Por Pilar Sáenz
Si te apareció este mensaje en tu cuenta de Facebook, eres una de las 90 millones de personas afectadas por el último problema de seguridad que esta red social ha padecido. Hay muchas preguntas abiertas sobre la vulnerabilidad, el nivel de afectación, pero fue la respuesta de Facebook, frente a las personas que usan su plataforma, la que nos dejó más desorientados.
Empecemos por lo primero, ¿qué fue lo que pasó y por qué es tan grave?
Del comunicado de Facebook del viernes 28 de septiembre se pueden inferir varias cosas.
La primera es que el fallo de seguridad pudo afectar a las personas que guardan la información del inicio de sesión en su navegador o en su dispositivo, para conectarse a esta red de forma automática. Esto es, practicamente, todos los usuarios de la plataforma en teléfonos móviles y todos los que dicen “sí” a la pregunta ¿quieres que recordemos tus datos? para olvidarse del problema de tener que escribir la contraseña cada vez que ingresan a esa red social… Es decir: Muchísima gente.
Cuando las personas acceden a la red social, Facebook genera un token, un pequeño código único que se guarda en el equipo y que es el responsable de mantener la sesión abierta. Mientras no cierren su sesión en el dispositivo, cada vez que alguien se va a conectar con Facebook, usa nuevamente el token que ya se había generado y regresa a esa sesión que ya tenía abierta.
Esto que funciona tan bien para evitar escribir las contraseñas o para ingresar a otras aplicaciones y cuentas utilizando la cuenta de Facebook, ahora es un problema. Los tokens son los que se vieron comprometidos en este fallo de seguridad. Los atacantes podían copiar ese código y usarlo para acceder a las cuentas afectadas y, con eso, a la información de millones de personas.
Lo segundo es que aún no se conoce la magnitud de la afectación. Facebook reconoce que cerró la sesión de 90 millones de personas, cuyas cuentas pudieron verse comprometidas, pero todavía desconoce si los atacantes entraron a los perfiles, los usaron o , incluso,si ingresaron a otras cuentas asociadas en otros servicios vinculados con la cuenta de Facebook. Es demasiado temprano para saber la profundidad del problema. Tal vez nunca sabremos quiénes se beneficiaron de la vulnerabilidad que Facebook aceptó en su comunicado. En cualquier caso, estamos hablando de mucha información de muchas personas.
¿Qué ha hecho Facebook?
Facebook dice en su comunicado que notificó a las personas de la falla de seguridad y que ha caducado la sesión automática a millones de personas que deberán, en la siguiente ocasión que quieran ingresar a la red social, volver a introducir su contraseña para iniciar sesión. Esto suena bien.
Siempre es deseable que las empresas notifiquen a sus usuarios cuando hay incidentes de seguridad digital y, además, que expliquen qué acciones tomaron para mitigar el daño y si hace falta que las personas afectadas lleven a cabo alguna acción adicional. Dado que ninguna plataforma es segura al cien por ciento, que las compañías reconozcan públicamente los fallos en su sistema y comenten qué medidas están tomando es un avance.
Eso pensamos cuando leímos el comunicado.
Ahora bien, el problema es que, al menos con base en los casos cercanos que conocemos, no parece que a las personas que posiblemente fueron afectadas les hayan contando de manera completa y sincera lo que pasó. Algunas personas recibieron simplemente un aviso con la información: “La sesión ha caducado. Vuelve a iniciar sesión. Aceptar”. Si esto es lo que Facebook hizo para informar a las personas afectadas, evidentemente, no fue claro en comunicar que la cuenta estuvo comprometida en un incidente de seguridad. Tampoco explicó cuáles son las acciones que deberían tomar para mejorar la seguridad de su información en esa red social.
Karisma está convencida de que ese primer mensaje de Facebook deja su compromiso con las personas posiblemente afectadas a mitad del camino. Si las personas no vieron la noticia, no se van a enterar de lo sucedido, no van a entender por qué su sesión caducó y no tomarán ninguna decisión para mejorar la seguridad de su información. Es decir, aquellas personas que potencialmente fueron afectados no aprenderán nada de lo ocurrido.
A otros les apareció este mensaje:
Actualización de seguridad importante:
Fulanito, tu privacidad y seguridad son muy importantes para nosotros. Queremos informarte de una medida reciente que tomamos para proteger tu cuenta. Más información.
Sin duda, este sería el típico aviso al que cualquiera le da clic para leer hasta la última palabra detrás de “más información”, ¿cierto?
Claramente, este tipo de notificación pasará desapercibida por la mayor cantidad de personas que la tomarán como una notificación más, de un cambio en los términos y condiciones, o la notificación de que hay una nueva versión, y que es necesario actualizar la versión de la aplicación cuando sea posible.
Este es un aviso donde tampoco se informa lo que sucedió. No dice que hubo un fallo de seguridad, ni que la cuenta fue posiblemente comprometida. Tampoco sugiere que se revoque el inicio de sesión o que se vuelva a ingresar la contraseña en todas las cuentas vinculadas con Facebook de todos los dispositivos que se puedan ver afectados.
Solo aquellos que hagan clic en “más información” se enterarán que hubo un ataque y que Facebook pudo haberse visto obligado a cerrar su sesión.
Pero, ese mensaje tampoco indica lo que sí dice el comunicado, que la información pudo resultar comprometida por una vulnerabilidad de sistema y que, por eso ,Facebook decidió cerrar la sesión y pedir que volvieras a autenticarte con tu contraseña.
Lo que refleja este aviso es una serie de verdades a medias para las personas que son usuarias de sus servicios; no se parece a lo que sí le dicen a los medios. El comunicado de prensa informa que tuvieron un problema, que se lo están tomando en serio, que toman medidas para mitigarlo, que corrieron a enfrentarlo, que están investigando, que ya informaron a las autoridades (dentro del plazo que les da la GDPR), que no conocen la dimensión del problema, etcétera.
Usando esta estrategia, Facebook evita que la información sobre lo sucedido llegue a varios millones de personas que solo se enteran de las noticias por Facebook y, sobre todo, no le llegara a esos otros millones que solo acceden a Facebook a través de planes de zero rating –donde el consumo de datos por acceder a información básica en Facebook no se descuenta de su saldo–. Estas personas, son justamente quienes más probabilidad tienen de haber sido afectadas, porque están accediendo por la aplicación desde el celular que mantiene abierta la sesión y por tanto usan el sistema de tokens que fue vulnerado. Además, son quienes no tienen la oportunidad de ver la noticia completa y su cubrimiento en los medios, pues casi nunca tienen datos suficientes para navegar libremente por internet.
¿Si crees que eres una de las personas afectadas, qué deberías hacer?
La única buena noticia es que la acción directa que se debía hacer Facebook ya la debió hacer por ti. Por la información que se conoce, la única acción necesaria es cerrar todas las sesiones que pueden estar abiertas, incluyendo las de dispositivos móviles y volver a ingresar con la contraseña. Si Facebook no lo hizo por ti, hazlo.
Ahora bien, este caso nos puede servir para mejorar la seguridad de nuestras cuentas y cambiar algunos hábitos que aumentan el riesgo de resultar afectados en otros incidentes:
- Mantener la sesión abierta puede ser una práctica muy cómoda pero incrementa el riesgo de que otras personas puedan acceder a tu cuenta y a la información que tengas allí, sin tu autorización ni tu conocimiento. Recomendación: cierra la sesión cuando la dejes de utilizar.
- Que el navegador que utilices guarde las contraseñas por ti también vuelve tu cuenta más vulnerable. Cualquier persona que tenga acceso a tu equipo podría ingresar a tu cuenta con las contraseñas que están almacenadas o las que se recuerden de forma automática. Recomendación: deja de guardar las contraseñas en el navegador y utiliza mejor herramientas de gestión de contraseñas seguras.
- Autenticarse con Facebook, o con cualquier otra cuenta ya creada, puede sonar muy bien para no tener que crear una nueva cuenta. Sin embargo, el efecto cascada si se compromete la cuenta inicial puede ser tan grave como el de usar la misma contraseña para muchas cuentas, una práctica de la que siempre se nos alerta como riesgosa. Recomendación: aprovecha para cambiar la contraseña en Facebook por una que sea única, larga y compleja, y activa la autenticación de dos pasos. Mira nuestra píldora de seguridad al respecto.
Finalmente, te invitamos a que compartas esta información y hables con otras personas sobre este caso. Seguramente, conocerás a mucha más gente que también esté potencialmente afectada y que no tiene idea de lo sucedido.
3 comentarios
Muy interesante el artículo y vuestro proyecto.
Mi problemas es que tengo dos cuenta con el mismo número y mi cuenta anterior caducó y necesito recuperar
Yo tengo mi cuenta me salió que caducó intento recuperarla … Hago lo que me dicen y nada sigue igual no se que hacer tengo muchas cosas en mi cuenta de facebook .. creo que la perdí por completo .. o algo que me puedan ayudar..
Ya le puse crear contraseña y nada me deja igual solo dice tu cuenta fue bloqueada .. ojalá puedan ayudarme muchas gracias