La sucesión de problemas de seguridad de Facebook demuestra que el crecimiento ha ido por delante de la seguridad de los usuarios en las prioridades de la compañía. La red ha alcanzado tal volumen que se ha convertido en un sistema casi imposible de asegurar completamente. La naturaleza y la escala de las operaciones en este tipo de plataformas, con miles de millones de usuarios, hacen casi imposible anular las amenazas que pueden dejar expuestos una enorme cadena de datos personales.
En el caso de la brecha detectada el pasado mes de septiembre, que afectó a 50 millones de usuarios, la implementación de una nueva función permitió a los hackers conectarse en la sesión de millones de usuarios durante más de un año. Y la empresa no pudo detectar que las cuentas se comportaban de forma extraña; la actividad del hacker habría sido a sus ojos igual que la actividad normal del usuario. Además no se le habría notificado a través de la autentificación de dos factores, ya que los piratas consiguieron que se relacionase con un inicio de sesión existente. Así los asaltantes habrían podido instalar aplicaciones, cambiar algunos ajustes de seguridad o exportar datos personales con facilidad.
Además los ataques contra estas plataformas cuentan con muchos incentivos dentro de la comunidad de hackers. Facebook es, de largo, el mayor repositorio de datos personales de la historia, eso lo convierte en un objetivo natural. Y aunque está lejos de ser un blanco fácil, atrae a algunos de los criminales con más recursos del mundo. El mismo Facebook afirmó que la brecha descubierta en septiembre era muy compleja; se trataba de un proceso coordinado y sofisticado para crear la vulnerabilidad. Las personas que llevaron a cabo el ataque eran expertos y parece probable que hayan cosechado grandes recompensas por su trabajo.
Un gran sistema con información sensible
Esto ocurre porque Facebook es tan grande y complicado que, incluso contando con algunos de los mejores ingenieros de software del mundo, no se puede diseñar y codificar de forma que se eviten consecuencias imprevistas. Cada pequeño error, cada combinación específica de pequeños defectos en el código, afecta a un número astronómico de personas. La red tiene demasiadas partes móviles para que los usuarios y desarrolladores que lo manejan lo hagan infaliblemente. Aun así la mayoría de infracciones que han ocurrido, especialmente las más grandes como la de Cambridge Analytica, han sido fallos de política, no de código.
Y las consecuencias de una vulnerabilidad son importantes. El compromiso de un gran número de cuentas, como el ocurrido en septiembre, exponen todos los datos de la plataforma y, potencialmente, todo lo que tus amigos han hecho visible para ti. Además, con un poco de ingeniería social o un segundo sitio web mal configurado, podría revelar el nombre de usuario y contraseña de otros lugares. Esto ya no sería exactamente responsabilidad de Facebook, pero el hecho es que debido a la forma en que Facebook ha sido diseñado -un repositorio centralizado de todos los datos personales que puede conseguir de sus usuarios- un error menor podría resultar en una pérdida total de privacidad.
Y un problema adicional en este sentido es que toda esa información personal que has puesto en línea no puede ser recuperada. En una situación de robo de tarjeta de crédito, por ejemplo, el usuario tiene la opción de cancelar y pedir una nueva. Eso pone fin a la amenaza. Pero con los datos personales, una vez que alguien los obtiene es muy difícil que se puedan deshacer los daños a la privacidad.
Aún así, sí que existen ciertas medidas que podrían limitar los riesgos. Se podría, por ejemplo, convertir aquellas partes en las que se guardan datos en un sandbox (un entorno cerrado) en el que se almacenen todos los datos de más de tres meses de antigüedad y exigir una verificación para acceder a ellos. Eso limitaría considerablemente los daños en caso de infracción. También se podrían limitar los perfiles publicitarios a datos de ese período, de forma que se pueda garantizar que no está construyendo una perfil paralelo de nosotros basado en el análisis de años de datos. Además, se podría incluso optar por que la empresa no lea lo que escriben los usuarios y que en su lugar deje categorías de autoinforme para temas de publicidad.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
También te puede interesar
Panda Antivirus Gratis
Soporte Técnico GRATUITO
