Select Page

50 millones o más “probables” afectados

Si nació a fines de los 80, probablemente sepa el significado de AFK. De lo contrario, no solo es probable que no tenga idea de qué es, sino que es probable que nunca haya cerrado sesión en su cuenta. Y eso estuvo perfectamente bien.

Hasta el día de hoy, cuando casi 90 millones de usuarios se han desconectado de Facebook hace horas como precaución para lo que parece ser el peor error de privacidad de la red social hasta la fecha. Y, sí, hemos oído hablar de Cambridge Analytica y del resto de las historias.

La historia, cuadro a cuadro

Según el anuncio de Facebook, casi 50 millones de cuentas se han visto comprometidas a través de una vulnerabilidad encadenada en la función “ver como”, que permitió a una parte desconocida arrebatar los tokens de autenticación de estos 50 millones de usuarios. Estos tokens de autenticación le permiten permanecer conectado a la cuenta cada vez que actualiza la página del navegador, reinicia la computadora o la pone a dormir. Mientras tenga el token, se le concede acceso a su cuenta sin tener que pasar por el proceso de inicio de sesión. Quien tenga este token también está exento de pasar por el proceso de inicio de sesión, incluido el que lo arrebató a través de esta vulnerabilidad.

Hay poca información adicional sobre este error, excepto por el hecho de que ha sido parcialmente mitigada por la red social al desactivar la función Ver como, pero vale la pena mencionar que no se menciona una recompensa Bug Bounty o una cuenta de un blanco. hacker ha reportado esta vulnerabilidad En este punto, es seguro suponer que este no fue un informe controlado y que un tercero se retiró literalmente con al menos 50 MILLONES de tokens de acceso a tantas cuentas.

Aquí viene la parte dolorosa

Según Statista, Facebook Messenger es la segunda plataforma de mensajería instantánea más grande del mundo con casi 1.300 millones de usuarios activos. También es la plataforma de mensajería instantánea más grande del mundo que no tiene activado el cifrado de extremo a extremo por defecto. Esto significa que el historial de chat siempre está disponible desde cualquier máquina en la que inicies sesión, a menos que hayas activado manualmente la opción Conversaciones secretas. En este punto, es seguro asumir que, si se desconectó de Facebook sin razón aparente:

Lo más probable es que tu cuenta haya sido pirateada. Lo que nos lleva al punto número 2.

Sus publicaciones privadas, conversaciones y cada información, como registros, imágenes enviadas por chat, etc., probablemente hayan caído en manos equivocadas. Si, en cualquier momento, se hacen públicos después de un “vertedero de datos”, los matrimonios se romperán, la amistad terminará abruptamente y las imágenes delicadas inundarán Internet. La vida nunca será la misma que antes, “gracias” a un pequeño error en una plataforma.

Es posible que se haya accedido a otras cuentas que usan la autenticación de Facebook.

A partir de ahora, es difícil decir lo que los hackers pudieron tener en sus manos. Sin embargo, dada la complejidad del error y el generoso cronograma (el error fue detectado el pasado martes por la red social, pero podría haber sido explotado por mucho más tiempo), es justo suponer lo peor. La razón por la que tuvo que volver a iniciar sesión hoy fue la forma en Facebook de denegar el acceso de los hackers a las cuentas: invalidaron el token de acceso tanto de las cuentas comprometidas confirmadas de 50 millones como de las cuentas sospechosas de comprometerse.

Y, como estamos hablando de contenido extremadamente delicado, como conversaciones de chat privadas, chats grupales e interacciones entre empresas, cambiar la contraseña no será suficiente para que todo vuelva a funcionar. Por lo tanto, si ha compartido contenido confidencial en Facebook Messenger, es hora de aceptarlo. Si es una empresa que utiliza Facebook Messenger para fines de soporte y ha cerrado sesión en su cuenta, será mejor que comience a evaluar qué información se ha intercambiado en el medio y comience a notificar a los clientes. En general, se trata de una violación de datos que cae bajo el GDPR y debe tratarse como tal.

Qué deberías hacer ahora

La revelación de hoy se basa en el viejo adagio que dice “nunca pongas tus huevos en una sola canasta”. Las redes sociales se han convertido en la pieza central de nuestra vida digital que se difumina en la vida física misma. También es una cuenta que las redes sociales pueden hacer mucho más que influir en su comportamiento de compra o robar una elección: puede tener consecuencias graves en su estilo de vida basadas en interacciones sociales privadas.

Lamentablemente, lo que se ha visto no se puede perder y es poco lo que puede hacer ahora para cambiar el curso de las cosas. Lo que debes hacer es considerar tus opciones futuras:

Comprenda que las redes sociales no son lugares a prueba de balas donde sus secretos están seguros. Planifica lo peor y actúa en consecuencia.

Nunca ponga algo por escrito que no le gustaría perder varios años a partir de ahora cuando se rompe la plataforma.

Acepta la encriptación de extremo a extremo como tu vida y tu libertad depende de ello. A veces lo hace.

Use clientes de mensajería instantánea centrados en la privacidad, como Signal para chats delicados o cualquier otro negocio que deba mantenerse separado de su persona física.