Empecé a escribir esta pieza en la intranet de mecenas, pero más tarde me pareció una pena que se fuera a quedar ahí, máxime a sabiendas de lo crítico que debería ser dar a conocer información como esta al grueso de la sociedad.
Y es que estamos ante otro ejemplo más de una gran compañía como Facebook abusando de la información de sus usuarios. Algo de lo que para colmo he visto muy pocos medios hacerse eco (Gizmodo (EN) y el blog de Bruce Schneier(EN), que yo sepa).
Pero empecemos por el principio.
Índice de contenido
La base de la seguridad de nuestras cuentas digitales es el segundo factor de autenticación
Es algo que he repetido estos últimos años por activa y por pasiva. El elemento que más seguridad dota hoy en día una cuenta o dispositivo es precisamente tenerlo protegido mediante un doble factor de autenticación. Ni contraseñas hipercomplejas ni hostias. 2FA.
De esta manera, tenemos por un lado un riesgo global (alguien encuentra en alguno de múltiples filtrados anteriores descubre nuestra contraseña/patrón) y por otro un riesgo local (alguien tiene acceso físico a nuestro dispositivo, generalmente y por comodidad el smartphone). Es decir, dos protecciones a las que un potencial atacante debe enfrentarse (las dos, no vale solo con bypasear una) para que en efecto comprometa nuestra cuenta. Lo que minimiza enormemente la capacidad de un tercero de acceder a nuestros datos.
Y además es algo comodísimo de activar. Lo hacemos una vez, y como la mayoría de la gente suele conectarse desde los mismos sitios y con los mismos dispositivos, es probable que jamás tengamos que volver a meter ese segundo factor. En caso de que así sea, es tan sencillo como sacar el móvil, leer el SMS o token que nos llegue, y completarlo para loguearnos en dicha cuenta.
Algo que pido constantemente en todas las formaciones a ejecutivos, emprendedores y profesionales, y que de hecho cuenta hasta con su propio espacio dentro del Curso sobre Fundamentos de la Presencia Digital que ya bastantes de vosotros habéis hecho.
Por detrás, es cierto que el 2FA no es 100% seguro. Que por ejemplo es posible transformar el riesgo local del 2FA vía SMS en otro riesgo global. Y que a la hora de elegir, lo recomendable es activar este 2FA mediante una aplicación como puede ser Google Authenticator, mucho menos expuesta a tergiversaciones como la anteriormente citada. Algo que paulatinamente cada vez más servicios están ofreciendo (y que tiene además de ventaja que no es necesario dar a conocer nuestro número de teléfono).
Pero vaya, que hablamos de ataques bastante más sofisticados, así que en todo caso es muchísimo más recomendable proteger nuestra cuenta con 2FA a no tenerla protegida.
De cuando esa información entra en conflicto con el negocio
Ahora bien, lo que me lleva a escribir esta pieza no es en sí la seguridad de un segundo factor de autenticación, sino el descubrimiento por parte del equipo de Alan Mislove del uso de la información necesaria para activar un segundo factor en Facebook (es decir, el número de teléfono, que como ya he comentado otras veces, es nuestro documento de identidad digital) con fines de negocio por parte de la propia compañía.
Según explican en su paper (EN/PDF), hay bastantes pruebas que señalan inequívocamente cómo Facebook está utilizando ese número de teléfono, puesto única y exclusivamente para activar el 2FA, dentro del sistema de segmentación que ofrece su herramienta de segmentación de audiencias para anunciantes.
Es decir, hablamos claramente de un abuso de permisos de acceso a información. El usuario tiene el derecho a ofrecer dicha información (el número de teléfono) única y exclusivamente para activar su segundo factor de autenticación (medida de seguridad), sin que ello deba ser utilizado para el profiling de la compañía, tal y como de hecho recoge la información del propio servicio.
Descubrieron que cuando un usuario le da a Facebook un número de teléfono para la autenticación de dos factores o para recibir alertas sobre los nuevos inicios de sesión en la cuenta de un usuario, ese número de teléfono se convirtió en un objetivo para un anunciante en un par de semanas. Por lo tanto, los usuarios que desean que sus cuentas estén más seguras se ven obligados a hacer una compensación de privacidad y permitir que los anunciantes los encuentren más fácilmente en la red social.
Facebook, como explican en la investigación, no debería ofrecer acceso a dicha información al resto de la plataforma. La única información que deberían poder utilizar para su negocio es toda aquella que está disponible (sea pública o privada) en nuestro perfil, así como toda interacción que hagamos dentro de la plataforma y con la app. Un dato cedido única y exclusivamente por motivos de seguridad debería quedarse fuera de cualquier explotación económica.
El shadow data de las plataformas digitales
Lo que me lleva nuevamente a hablar de los límites del acceso a la información.
Estas barreras tan difusas entre aquello que debe ser o no público, que vimos con ejemplos de la talla de la investigación que hacía una periodista para encontrar las cuentas personales del por aquel entonces director del FBI utilizando únicamente la información que de manera totalmente lícita ofrecían las plataformas digitales, o lo que supuso el abuso de acceso a información por parte de empresas supuestamente con fines solo académicos, como fue el caso de Cambridge Analytica.
Controlar el ámbito y acceso final de una información compartida en Internet es profundamente complejo. Inclusive teniendo en cuenta que cada vez más estamos tirando hacia un entorno de cifrado por defecto de punto a punto, lo cierto es que resulta incierto a priori conocer hasta dónde podría llegar algo que exponemos en la red.
Y este es precisamente el trabajo de las plataformas. Marcar claramente los límites, y hacerlos accesibles al usuario.
Algo como lo que ha estado ocurriendo en Facebook no debería ser la tónica general. Igual que un puente tiene que funcionar siempre, porque sino funciona, muere gente, una plataforma digital en la que ya hay cerca de 2.000 millones de personas debería funcionar siempre, sin margen de error, habida cuenta de que un error puede conllevar un riesgo considerable a sus usuarios (el último hackeo masivo es un ejemplo). Un riesgo que hace tiempo pasó de ser puramente digital, y que afecta con cada vez mayor intensidad a nuestra vida y a la de nuestros allegados.
¿Hay algo que podamos hacer?
Afortunadamente sí.
Como explicaba antes, Facebook es una de las empresas que ofrece junto con la autenticación en dos pasos basada en SMS, otra basada en tokens vía app.
Y la idea es activar esta última, ya que no tiene de esta manera asociado un número de teléfono.
Para ello tenemos que ir a Configuración de la Cuenta > Ajustes de Seguridad > Activar el doble factor de autenticación, e ir siguiendo los pasos señalando la autenticación basada en Aplicación de autenticación, como se ve en la imagen superior.
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la presencia digital sana, ayudándote paso por paso a parametrizar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
A partir de entonces tendremos en nuestro smartphone una aplicación (yo utilizo Google Authenticator) que generará cada minuto un token (una serie de 6 dígitos aleatorios) que nos permitirá loguearnos, y que será necesario para acceder a nuestra cuenta desde un dispositivo distinto al habitual. Si el día de mañana extraviamos o cambiamos el smartphone, será cuestión de volver a configurarlo, igual que con la recuperación de contraseñas.
Algo que recalco, recomiendo hacer en todos los servicios que lo ofrezcan:
- Mejor tener un 2FA que no tenerlo activo.
- Mejor tener un 2FA basado en token app, que un 2FA basado en SMS.
Lo pongo por separado y en negrita para que quede claro.
Sobra decir que si esto lo hacemos por motivos de privacidad (no queremos que Facebook utilice nuestro número de teléfono para segmentarnos) pero tenemos el número de teléfono en el perfil, o lo hemos utilizado para pasar nuestra agenda de contacto, no va a servir de nada. Facebook ya tiene el teléfono y además tiene todo el derecho del mundo a utilizarlo con fines de negocio, ya que nosotros mismos se lo hemos permitido.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve en tu día a día, piensa si te merece la pena invitarme a lo que vale un café, aunque sea digitalmente.