Por error Facebook deja expuestas millones de contraseñas de usuarios

Facebook Inc. señaló el pasado jueves que dejó expuestas “cientos de millones” de contraseñas de usuarios al almacenarlas como texto sin formato, lo cual las hizo potencialmente visibles para los empleados de la compañía. El tema representa otro gran dolor de cabeza para la seguridad y privacidad de un gigante tecnológico que ya está señalado por el pobre trato que brinda a la información privada de las personas.

Facebook cree que las contraseñas no fueron visibles para ninguna persona ajena a la compañía y no tiene pruebas de que sus empleados “hayan abusado de ellas internamente o accedido indebidamente a esa información”, pero indicó que notificaría a los usuarios afectados, tanto de su red social homónima como de su sitio para compartir fotos, Instagram.

El incidente fue revelado por el blog Krebs on Security, según el cual el problema comenzó en 2012, se estima que el número total de usuarios afectados oscila entre 200 y 600 millones. Facebook declinó confirmar la cantidad.

La noticia se suma a una letanía de recientes contratiempos de seguridad y privacidad en Facebook, algunos de los cuales han desencadenado investigaciones en Estados Unidos y la Unión Europea y pueden conllevar el riesgo de fuertes multas y otros castigos.

Como la mayoría de las compañías, Facebook señaló que almacena las contraseñas de cierta forma que se supone las hace ilegibles, utilizando una técnica llamada hashing. Pero una revisión de seguridad en enero pasado, detallada en una publicación de blog el pasado jueves, descubrió que en realidad estaban almacenadas en un formato legible.

Facebook precisó que, a raíz de esto, ya ha solucionado el problema. Los más afectados fueron los usuarios de Facebook Lite, explicó, una versión limitada de la red social, que se usa en gran medida en países con menores velocidades de conexión a internet.

“Esto nos llamó la atención, porque nuestros sistemas de inicio de sesión están diseñados para enmascarar contraseñas usando técnicas que los hacen ilegibles”, remarcó Pedro Canahuati, vicepresidente de ingeniería, seguridad y privacidad de la empresa, en la publicación del blog. “Hemos solucionado estos problemas y como medida precautoria, notificaremos a todas las personas cuyas contraseñas estaban almacenadas de esta manera”.

Durante su revisión, explicó Canahuati, Facebook también examinó sus otras prácticas de seguridad, incluido el uso de “tokens de acceso”, que es la forma en que aplicaciones de terceros identifican a un usuario de Facebook y pueden acceder a la información del perfil. El ejecutivo afirmó que Facebook tenía los “problemas resueltos, porque los hemos descubierto”, pero la compañía no comentó de inmediato sobre otros contratiempos de seguridad que identificó.

En septiembre pasado, Facebook reconoció que piratas informáticos habían robado información que podría haberles permitido acceder a 50 millones de cuentas. Así, cerró la sesión de 90 millones de usuarios debido al incidente, que permitió a los piratas informáticos acceder a la información del perfil, incluido el nombre y género de cada persona.

Por separado, tras el reciente ataque terrorista en Nueva Zelanda, Facebook afirmó que volvería a examinar cómo reacciona su sistema a los videos en vivo y recientemente transmitidos.

El primer usuario que alertó a Facebook sobre las imágenes espantosas del ataque mortal contra dos mezquitas en Christchurch, Nueva Zelanda, se registró 29 minutos después de que comenzara el video y 12 minutos después de que terminó. Si alguien hubiera alertado mientras el feed o proveedor de noticias estaba activo, explicó Facebook, la red social podría haberlo eliminado más rapidamente.

Facebook asegura que da prioridad a los reportes de usuarios de un livestream para las “revisiones urgentes” -una verificación inmediata por parte de los moderadores-, de modo que los servicios de emergencia puedan ser alertados sobre un hecho crítico tan pronto como sea posible.

Pero este proceso de revisión urgente se aplica a los videos en vivo recientes, únicamente, si están reportados como suicidio, dijo. Esta revisión rápida no cubre otros tipos de videos en vivo, como el tiroteo de masas en Nueva Zelanda, aunque eso podría cambiar pronto, comentó Facebook.

“Estamos examinando de nueva cuenta nuestra lógica de informes y experiencias para los videos en vivo y recientes, para expandir las categorías que podrían tener una revisión urgente”, destacó la compañía.

Para leer esta nota en inglés, haga clic aquí