Blog

Protección de Datos - Sanciones

Facebook y su último (y vistoso) fallo de seguridad

Facebook y su último (y vistoso) fallo de seguridad

Con Facebook es difícil saber lo que son fallos y lo que son descuidos un poco intencionados. Pero, en esta última ocasión, ha sido difícil no malpensar.

Lo que ha pasado, en resumidas cuentas, es que Facebook ha empezado a pedir a usuarios que se registraban por primera vez en la red social (sí, al parecer quedaba alguien en el mundo sin Facebook) las contraseñas de sus correos electrónicos. Es decir, la persona entraba en Facebook, se creaba un perfil por primera vez y, al tener que aportar su email para registrarse, la plataforma le pedía la contraseña del mismo. No la que quería establecer en la plataforma, sino la del correo.

Esto, obviamente, falta a todas las normativas habidas y por haber en materia de protección de datos, y han saltado las alarmas. Casi más peligroso que el hecho de que Facebook se haga con estos datos es el de que los usuarios puedan acostumbrarse a este tipo de peticiones. “Si Facebook me lo pide, será que es normal”. No. No es normal y ni Facebook ni ninguna plataforma pueden pedir un tipo de información tan privada sin que esté relacionada con su servicio.

Uno de los puntos más complicados del caso es que, como casi siempre, tuvo que darse cuenta un usuario anónimo bajo el pseudónimo de e-sushi en Twitter. Este usuario también destapó que, al conceder la contraseña, aparecía un pop-up en el que se aseguraba que se estaban “importando contactos”. ¿Qué contactos? ¿Con qué fin? ¿Puede justificar Facebook esta petición e importación posterior?

De momento, la compañía solo se ha pronunciado para declarar que pausará esta funcionalidad. Pero esto no ha detenido las críticas, como cabía esperar. Bennett Cyphers, un especialista en seguridad, ha dicho que este acto es básicamente idéntico a un ataque de phishing, y más cuando una de las primeras alertas que se dan a los usuarios en cuestión de seguridad online es la de no dar nunca contraseñas en ningún sitio web.

“Esto es inaceptable a muchos niveles. Es un intento de chantajear a los usuarios, pidiéndoles datos sobre sus contactos a cambio de registrarse. Ninguna compañía debería pedir este tipo de credenciales, y nadie debería confiar en una que lo haga”.

Aunque no debemos ser tan catastrofistas. Además de que esto solo ha ocurrido con unos servidores de email determinados (nada de Gmail ni los más comunes en nuestro país), estamos seguros de que Facebook estaba preparado para tomar medidas de seguridad y evitar la fuga o robo de estos datos que estaba recopilando. Aun así, había muchas formas de hacerlo y, probablemente, han elegido la peor.

Los usuarios, por nuestra parte, lo único que podemos hacer es ser muy conscientes de que este tipo de peticiones no son ni legales ni habituales, y nunca proporcionar datos que nos parezcan de excesiva privacidad.