El viernes, Facebook reveló la brecha de seguridad más grande de sus 14 años de historia, durante la cual un hacker -o un grupo de hackers- obtuvo el ingreso a las cuentas de casi 50 millones de usuarios. A diferencia de filtraciones anteriores (como el escándalo de Cambridge Analytica), este es el primer caso conocido en la historia de Facebook en el que se roban millones de “tokens de acceso”, las llaves que permiten tomar control de una cuenta, incluyendo la información que el usuario no comparte con el público. Como resultado, los hackers también ganaron control de cuentas en otros sitios, como Spotify, que permiten el logueo con las credenciales de Facebook. Los atacantes aprovecharon una falla en el código alrededor de la función “Ver Como”, que permite a los usuarios ver cómo otras personas ven su perfil.
La falla que permitió el ataque ya fue parcheada, según Facebook. La compañía indica que los atacantes podían ver todo el perfil de sus víctimas, aunque no está claro si los mensajes privados están incluidos o si la data fue utilizada para algo más. Como parte de la solución, Facebook automáticamente cerró la sesión de 90 millones de personas el viernes en la mañana, que incluyen los 50 millones de afectados y 40 millones extra que pudieron ser potencialmente afectados. Más tarde ese mismo día, Facebook confirmó que las aplicaciones de terceros que utilizaban credenciales de Facebook para acceder también serían afectadas.
Facebook indicó que los usuarios afectados verían un mensaje en la parte superior de su Feed respecto al tema cuando ingresaran a la red. “Tu privacidad y seguridad son importantes para nosotros […] Queremos que conozcas las acciones que tomamos para asegurar tu cuenta”. El mensaje continúa invitando a clickear para conocer más detalles. Si no de desconectaron de tu cuenta pero querés tomar precauciones extras, podés revisar esta página para saber en dónde estás conectado, y cerrar esas sesiones.
Estas desconexiones sirvieron para resetear los tokens de acceso de todos aquellos que fueron directamente afectados y las cuentas adicionales que han utilizado la opción de “Ver Cómo” en el último año, explicó Guy Rosen, vicepresidente de producto de Facebook. Facebook inhabilitó temporalmente esta función, mientras investiga más profundamente.
Hay detalles del ataque, descubierto el 25 de septiembre, que permanecen desconocidos. A pesar de que la compañía aseguró que la brecha no incluye datos de tarjetas de crédito, queda pendiente determinar quiénes eran objetivo, el impacto global, el motivo, y si la data en las cuentas tuvo algún uso. “Tampoco sabemos quién realizó el ataque, o dónde está” declaró Rosen. Ya antes del anuncio del ataque, la compañía estaba siendo investigada por la Comisión Federal de Comercio (FTC), el FBI y otras agencias, debido a su implicación con el caso de Cambridge Analytica., donde una consultora política obtuvo los datos privados de 87 millones de usuarios de Facebook.
La red social indica que las investigaciones empezaron el 16 de septiembre, con la detección de un pico inusual de usuarios ingresando a Facebook. El 26 de septiembre, el equipo de ingenieros descubrieron que los hackers aprovecharon una serie de bugs relacionados con una función de Facebook que permite a los usuarios saber cómo los demás ven sus perfiles. Actualmente la compañía está trabajando con el FBI para identificar a los atacantes. Un hacker taiwanés llamado Chang Chi-yuan prometió eliminar el Facebook de Mark Zuckerberg a comienzos de la semana pasada, pero Rosen aseguró que Facebook “desconoce si esa persona tiene relación con este ataque”.
Este es el último episodio de una serie de dos años de controversias que incluyen los “fake news”, la propaganda rusa durante las elecciones presidenciales estadounidenses del 2016, y el papel de catalizador de violencia de la plataforma en Myanmar y Sri Lanka. En agosto, Mark Zuckerberg reconoció que la compañía es particularmente vulnerable a críticas porque “no deberíamos estar cometiendo el mismo error varias veces”.
El hackeo seguramente reforzará el llamado a regular Facebook. El senador de Virginia, Mark Warner, solicitó una investigación completa, y señala que el hackeo es “un recordatorio de los peligros que acechan cuando un pequeño número de compañías como Facebook o el buró de crédito Equifax son capaces de acumular tanta data personal […] sin las medidas de seguridad adecuadas”.
Pero más allá de los llamados solicitando su regulación, la tarea más difícil de Facebook seguramente sea recuperarse de la pérdida de confianza de su audiencia. En enero, una encuesta realizada por Honest Data en Estados Unidos mostró que 27% de los entrevistados considera que Facebook está teniendo “un impacto negativo en la sociedad”, peor que McDonald’s o Wallmart. En Europa la situación es más violenta: en Abril, luego de que Zuckerberg testificara en el Congreso, el diario inglés The Economist se burló de sus defensas y advirtió que que “la interminable insinuación sobre la ‘comunidad’ cuenta poco cuando ha ignorado de manera repetida y flagrante los derechos de sus usuarios de controlar sus propios datos; y el nuevo Reglamento General para la Protección de Datos requiere que las compañías revelen las brechas a una compañía europea con un máximo de 72 horas, con la posibilidad de enfrentar una multa de 4% de sus ganancias globales, o €20 millones (la suma que sea más alta). En caso de alto riesgo para los usuarios, la regulación también demanda que se les notifique directamente. Facebook indica que le notificó a la Comisión de Protección de Datos del problema. Si bien la Comisión irlandesa coincide con Facebook en que notificó la brecha en el lapso de tiempo correspondiente, indica que el reporte “no estaba detallado”. Facebook podría enfrentarse a una multa de US$1.63 billones, y el caso se centraría en conocer si Facebook tomó las medidas apropiadas para proteger los datos de los usuarios antes de la brecha.
En los días y semanas por venir, Facebook será juzgada parcialmente por su responsabilidad técnica, sus promesas e iniciativas; pero también se juzgarán los pasos que de para la administración, recopilación y protección de los datos de sus usuarios. El viernes, Zuckerberg escribió un post respecto al hackeo, con un tono cuidadosamente equilibrado entre la confianza y la preocupación “Mientras me alegra que descubrieramos esto, arreglaramos la debilidad y resguardamos las cuentas que pueden estar en riesgo, la verdad es que necesitamos seguir desarrollando nuevas herramientas para prevenir que esto suceda en primer lugar.”