Facebook ya pareciera llamarse “la red del escándalo”, pues todo apunta a que seguirá en boca de todos, no por su gran alcance, sino por la cantidad de fallos de seguridad o “asuntos” dudosos que se han dejado conocer desde el año pasado.
Una de estas situaciones se habría registrado en enero de este año, cuando los equipos detectaron que las contraseñas de cientos de millones de usuarios estaban siendo almacenadas dentro de sus sistemas en un formato legible.
Este hallazgo, como parte de sus revisiones rutinarias de seguridad, ha llamado poderosamente la atención porque los procesos de login están diseñados para ocultar las contraseñas, usando técnicas que las transforman en ilegibles, de acuerdo a lo informado por Pedro Canahuati, vicepresidente de Ingeniería, Seguridad y Privacidad en Facebook.
Según su reciente confirmación, “el asunto” ya ha sido solucionado y, de manera preventiva, estarán notificando a todas las personas cuyas contraseñas fueron guardadas de esta manera.
“Para ser claro, estas claves nunca fueron visibles para nadie fuera de Facebook y no hemos hallado ninguna evidencia hasta el momento de que haya habido abusos internos o accesos inapropiados. Estimamos que vamos a notificar a cientos de millones de usuarios de Facebook Lite y a decenas de millones de otros usuarios de Facebook e Instagram”.
Revisiones rutinarias de seguridad
Canahuati ha indicado que durante las revisiones rutinarias de seguridad también analizaron la manera en la que se guardan otras categorías de informaciones, tales como el acceso a tokens, y que han corregido los problemas a medida que han sido detectados.
Como ocurre en cada “asunto”, desde Facebook han sido enfáticos en señalar que no hay nada más importante para la compañía que proteger la información de la personas y, por eso, continuarán trabajando en mejoras como parte de los esfuerzos constantes de seguridad de la red social.
El Vicepresidente de Ingeniería, Seguridad y Privacidad de la plataforma, además ha explicado la manera en que se protegen las claves de las personas, por supuesto que en línea con las mejores prácticas de seguridad de la industria.
Señaló que Facebook enmascara las contraseñas cuando una persona crea una cuenta, de tal forma que esa información no pueda ser vista por nadie en la empresa.
Por razones de seguridad, según él, cifran las claves usando una práctica que incluye la función llamada “scrypt”, junto con una contraseña encriptada que les permite reemplazar la clave de manera irreversible a través de un conjunto de caracteres elegido al azar.
Mediante esta técnica, ha dicho que pueden validar cuando una persona está accediendo con la contraseña correcta, sin tener que almacenar su clave en formato de texto legible.
“Como sabemos que las personas podrían compartir, reutilizar o incluso ser víctimas de un robo de sus contraseñas, desarrollamos medidas de seguridad para proteger las cuentas”.
Entre esas medidas ha puntualizado que se utilizan distintas señales para detectar actividades sospechosas, como por ejemplo, cuando un usuario ingresa correctamente una contraseña desde su dispositivo y ubicación habitual.
La plataforma trata este inicio de sesión de manera diferente a como lo haría cuando alguien intenta acceder a su cuenta desde un teléfono no reconocido, en un país extranjero.
Cuando se detecta un inicio de sesión sospechoso se le hace una pregunta de verificación adicional al usuario, con el fin de demostrar que la persona es el propietario real de la cuenta. Además, las personas también pueden registrarse para recibir alertas sobre inicios de sesión no reconocidos.
“Sabiendo que algunas personas reutilizan contraseñas en diferentes servicios, vigilamos muy de cerca los anuncios sobre violación de datos de otras organizaciones y la publicación de las bases de datos de las credenciales que han sido robadas”.
Pedro Canahuati ha confirmado que posteriormente revisan si esa combinación de correo electrónico y contraseña robada coincide con la misma combinación que está siendo usada en Facebook y, si encuentran parecido, notifican al usuario la próxima vez que inicie sesión y lo guían en el proceso de cambiar su contraseña.
Para minimizar la dependencia de las contraseñas, el ejecutivo ha recordado que la compañía introdujo la posibilidad de registrar una clave de seguridad física, a fin de que la próxima vez que el usuario inicie sesión, simplemente toque un pequeño dispositivo de hardware que se encuentra en la unidad de USB de su computadora.
Esta medida es considerada como particularmente crítica para usuarios de alto riesgo, incluidos periodistas, activistas, cuentas de campañas políticas y figuras públicas, según su apreciación.
Medidas de seguridad
Canahuati también ha aprovechado para proporcionar algunas medidas que se pueden seguir para mantener las cuentas seguras, aunque ha insistido en que las contraseñas no fueron expuestas externamente y que no han encontrado evidencia de abuso hasta la fecha.
“Puedes cambiar tu contraseña en la sección de configuración en Facebook e Instagram. Evita reutilizar contraseñas entre distintos servicios. Elige contraseñas seguras y complejas para todas tus cuentas. Las aplicaciones de administración de contraseñas pueden ser de gran ayuda”.
Igualmente se puede considerar la habilitación de una clave de seguridad o la autenticación de dos factores para proteger las cuentas de Facebook, utilizando códigos de una aplicación de autenticación de terceros. Así, cuando se inicie sesión con la contraseña, se pedirá un código de seguridad o tocar la clave de seguridad para verificar que efectivamente es el usuario real.