Facebook: la privacidad no es un derecho para los usuarios, es un privilegio

Facebook deja al descubierto la privacidad de los datos de millones de usuarios

Facebook deja al descubierto la privacidad de los datos de millones de usuarios

El pasado viernes la gente de CNN en Español me entrevistó para saber más sobre la brecha de seguridad masiva que denunció Facebook y que afectó la privacidad de al menos 50 millones de usuarios activos, sobre un universo que supera los 2 billones.

Ciertamente sentí que eso no era noticia, la noticia sería que Facebook, tomara en serio a la seguridad y diera muestras cabales de respeto a la privacidad de los usuarios, por sobre el negocio.

Si bien la compañía aún está investigando el problema, ya ha tomado medidas para detener el exploit y proteger a los usuarios.

Esto es lo que sé hasta el momento:

Facebook dice que su equipo de ingeniería ¿descubrió? una amenaza a la seguridad que podría permitir a un pirata informático “robar tokens de acceso a Facebook que luego podrían usar para hacerse cargo de las cuentas de las personas”.

Una empresa responsable hubiese colocado un analista de seguridad cuando se “codeo” la aplicación, y esto nunca hubiese sucedido.

Pero como dije en la nota que me hicieron en CNN, si el servicio es “gratis”, el producto somos nosotros.

Denunciado el 25/9

Nadie sabe exactamente cuándo se incumplieron las cuentas, pero Facebook dice haberlo descubierto el martes 25 de septiembre.

Nunca nos vamos a enterar, si lo encontraron ellos o lo encontró un tercer y pagaron por el silencio, para evitar una sanción monumental.

El problema se debe a un cambio realizado en Facebook a su función de carga de videos en julio de 2017, por lo que es posible que la vulnerabilidad haya pasado desapercibida durante mucho tiempo, y la privacidad de todos los usuarios fuera una real utopía cibernética.

El ataque explotó la interacción oscura de variados problemas en el código de Facebook.

Además los cibercriminales explotaron una vulnerabilidad en el código de Facebook relacionada con la función “Ver cómo”, que está diseñada para que los usuarios vean cómo su perfil aparece en las pantallas de otras personas.

Si utilizó la función, los hackers pudieron robar su token de acceso y posiblemente tomar el control de su cuenta.

Cuando me refiero a un token de acceso, hablo de lo que usa el navegador para mantener conectado al usuario a su cuenta de Facebook después de iniciar sesión una vez.

Supuestamente arreglado

Facebook asegura el exploit fue parcheado el jueves, 27 de septiembre, obviamente para dar cumplimiento a la normativa de GDPR, si la vulnerabilidad apareció antes, nadie lo sabrá nunca.

Facebook restableció el token de acceso para los 50 millones de usuarios que se vieron afectados, así como otros 40 millones usuarios de cuentas “que han sido objeto de una búsqueda de “Ver cómo” en el último año”, tuvieron el mismo proceso.

Entonces, si tuvo que iniciar sesión manualmente en su cuenta de Facebook el viernes 28 de septiembre, es probable que su cuenta haya sido comprometida, y su privacidad fue mansillada.

Antes de que FB denunciara el hack, no queda claro el tiempo real entre el descubrimiento y la revelación,  si los atacantes podían recuperar un token de acceso para su cuenta, hipotéticamente podrían iniciar sesión en su cuenta en su máquina y tener acceso completo a ella.

Por ahora, como una muestra total de inseguridad en su propio equipo, Facebook ha deshabilitado temporalmente la función a medida que lleva a cabo “una revisión exhaustiva de seguridad”, obviamente están consultando internamente si alguien vio la patente de lo que les pasó por arriba.

Cuando no se tiene idea

Además Facebook dijo que aún debe determinar si estas cuentas fueron mal utilizadas o si se accedió a información, a esta altura que no sepan el estado de su privacidad, es casi vergonzoso para una empresa que maneja un presupuesto “tan generoso”. Pero si los hackers tenían acceso sin restricciones a las cuentas de los usuarios, es seguro decir que al menos algunos datos fueron robados.

No espere más, si sale de esta nota para cambiar ya mismo la contraseña, NO LO CULPO. No hay indicios de que los atacantes hayan podido robar contraseñas directamente, pero cambiarlo garantizará que se bloquee cualquier acceso que pudieran haber tenido a su cuenta.

Es imposible volver el tiempo atrás para protegerlo de este ataque, pero hay muchas maneras de limitar su cuenta de Facebook. O simplemente puede dar de baja su usuario, y recorrer tierras más seguras en el mundo cibernético.

 

 

Por Marcelo Lozano – General Publisher de IT CONNECT y Analista de Seguridad