Los 10 errores colosales de Facebook

22 May 2019

Este mes de mayo, Mark Zuckerberg cumplió 35 años y dudamos que haya podido celebrarlo de forma discreta, ya que se enfrenta a una investigación federal que estudia su responsabilidad en la mala gestión de los datos privados de los usuarios mientras los escándalos de Facebook siguen inundando los titulares. En esta publicación, hemos recopilados los 10 errores más destacados de Facebook relacionados con el mal uso de los datos de sus usuarios.

1. Cambridge Analytica: Así empezó todo

Todo comenzó con el escándalo de Cambridge Analytica. A principios del 2018 pudimos confirmar que las terceras partes pueden utilizar los datos y opiniones que compartimos en Facebook sin nuestro consentimiento. Cambridge Analytica recopiló los datos de 50 millones de usuarios de Facebook y los utilizó para emitir propaganda política; esto impactó a todo el mundo, pero solo era el principio. Para recordar los acontecimientos, puedes leer esta publicación.

2. Los tokens robados en Facebook

Medio año después, otro escándalo afectó a Facebook: un grupo de cibercriminales pudo explotar varias vulnerabilidades en Facebook y robar el acceso a tokens (que son básicamente un equivalente de claves digitales que recuerdan el inicio de sesión) de millones de usuarios de Facebook.

En total, robaron los tokens de 30 millones de usuarios: consiguieron el acceso a los nombres y listas de contactos de 15 millones y pudieron ver más información y la actividad de otros 14 millones. En cuanto al millón de usuarios restante, los secuestradores no accedieron a ningún tipo de información. Fue entonces cuando los usuarios descubrieron que Facebook no era impenetrable y que cualquiera podría robar sus cuentas en masa, aunque ellos no hicieran nada malo.

3. Las contraseñas de Facebook e Instagram que se divulgaron

Si 30 millones te parece poco, después tuvo lugar un incidente que involucró a cientos de millones de usuarios de Facebook e Instagram. A principios del 2019, Facebook informó de que sus procesos internos relacionados con la seguridad de los datos de los usuarios no son perfectos. La empresa admitió que estaba almacenando parte de las contraseñas de cuentas de Facebook e Instagram en texto plano, aunque insistió en que solo los empleados podían acceder a estas y que nadie había abusado de los permisos de acceso.

De momento no se ha divulgado la cifra exacta de los usuarios afectados. En primer lugar, la empresa comentó que el problema había afectado a cientos de millones de usuarios de Facebook Lite, decenas de millones de usuarios de Facebook y decenas de miles de usuarios de Instagram. Pero un mes después rectificó y afirmó que el problema (que ya está parchado) no ha afectado a decenas de miles, sino a millones de usuarios en Instagram.

4. Las contraseñas de Instagram que se divulgaron de nuevo

Lo cierto es que esta no fue la primera vez que los usuarios de Instagram descubrieron que sus contraseñas podrían haberse filtrado. Unos meses antes, se descubrió que la función “Descarga de datos” de Instagram contenía un fallo de seguridad (ahora parchado) que podría haber divulgado de forma involuntaria algunas contraseñas de Instagram. Cuando el usuario iniciaba sesión para utilizar esta función, su contraseña se incluía en una URL en sus navegadores web y, de nuevo, se almacenaba en los servidores de Facebook en texto plano.

5. Facebook solicitó contraseñas de correo electrónico y se apropió de los contactos

Facebook se hizo con los contactos del correo electrónico de un millón y medio de usuarios sin su consentimiento. Bueno, es algo más complicado. En realidad, solicitó a un subgrupo de recién llegados que verificaran sus identidades y, para ello, tenían que proporcionar la contraseña de sus cuentas de correo electrónico. Cuando la noticia saltó a la luz, muchos pensaban que se trataba de una broma, ningún internauta podía imaginarse la idea de ofrecerle a terceros el acceso a las comunicaciones de su correo electrónico. Por desgracia, no era una broma y muchos cayeron.

Según Facebook, no llegó a acceder a los contenidos de los correos electrónicos de los usuarios, sino que tan solo recopiló sin querer los contactos. En total se vieron afectados un millón y medio de usuarios, pero, dado que las listas de los correos pueden contar con cientos de contactos, la cifra podría ascender a decenas de millones. La empresa afirma que ha utilizado los datos para mejorar la publicidad personalizada, desarrollar las conexiones sociales de la web de Facebook y recomendar nuevos amigos a los usuarios.

6. La autentificación de dos factores en Facebook, una herramienta para los anunciantes

Todos queremos mantener nuestras cuentas a salvo y la autentificación de dos factores parece la mejor opción, pero incluso en este caso surgen problemas. Por ejemplo, el número de teléfono que proporcionas cuando activas la autentificación de dos factores en tu cuenta de Facebook queda asociado automáticamente a tu perfil y no puedes modificarlo. Como resultado, cualquiera puede buscar tu perfil utilizando este número de teléfono, aunque no tenga cuenta. Además, por si esto fuera poco, Facebook también podría enviar anuncios al número de teléfono.

7. Por culpa de Facebook tus contactos nunca estarán a salvo de los anunciantes

Como ya hemos mencionado anteriormente, Facebook e Instagram han estado dando acceso a los anunciantes a información de contacto que los usuarios ni siquiera han almacenado en Facebook. Es decir, los anunciantes se han estado (y seguramente sigan) dirigiendo a nosotros basándose en las direcciones de correo electrónico y números de teléfono que indicamos en nuestra página de “información básica y de contacto” y en otra clase de datos.

Estos datos pueden ser el número de teléfono (en su caso) que introduces para la función 2FA y las direcciones para el correo electrónico no deseado que proporcionas para descuentos o compras online furtivas. Además, si alguno de tus contactos decide compartir (“sincronizar”) sus contactos con Facebook o subir su lista de direcciones (para “encontrar amigos”) y esta incluye tu número de teléfono, aunque tú nunca hayas introducido esta información, los anunciantes podrán dirigirse a ti con un anuncio utilizando este número.

8. Facebook ha compartido datos con los anunciantes

Como han demostrado los documentos internos filtrados, Facebook ha aprovechado los datos de los usuarios para beneficiar a las empresas con las que se asociaba. Por ejemplo, Amazon.com, que invertía una gran suma en la publicidad de Facebook, pudo obtener los nombres y las direcciones de correo electrónico de los usuarios a través de sus amigos (al igual que Sony, Microsoft y muchos otros).

El motor de búsqueda de Microsoft, Bing, pudo acceder a los nombres de todos nuestros amigos en Facebook sin nuestro (ni su) consentimiento. Netflix, Spotify y Royal Bank of Canada tuvieron el privilegio de leer, escribir y eliminar nuestros mensajes privados y de ver todos los participantes del hilo. Los dispositivos de Apple tenían acceso a los números de contacto y a las entradas del calendario incluso de gente que había cambiado la configuración de su cuenta para desactivar esta opción.

Las empresas involucradas afirmaron que nunca habían realizado un uso indebido de los datos a los que habían accedido y algunos indicaron que incluso desconocían tener esos “privilegios”.

9. Facebook Marketplace ha filtrado la ubicación exacta de los vendedores

Un error (ya parchado) en el marketplace digital de Facebook indicaba la ubicación exacta de los vendedores (coordinadas precisas de longitud y latitud) y, por ende, de sus bienes. Para ver la ubicación, ni siquiera necesitaban iniciar sesión en Facebook, por lo que algunos investigadores comenzaron a llamar al servicio “la lista de la compra de los ladrones”. Para los vendedores de bicicletas caras esto resultaba realmente preocupante, pues los delincuentes podían sacar mucho provecho y, exponiendo la ubicación de los vendedores, Marketplace básicamente estaba regalándoles esas bicicletas.

10. Un tercero divulgó datos de Facebook

Se han descubierto dos bases de datos que almacenan datos de los usuarios en texto plano y a las que cualquiera podía acceder y descargar. Una de ellas se basaba en los datos de un juego de Facebook llamado “At the pool” que se dejó de utilizar hace mucho tiempo y la otra contenía más de 540 millones de registros que pertenecían a Cultura Colectiva, un medio de difusión mexicano que opera en toda Latinoamérica. Ambas bases de datos incluían los nombres y direcciones de correo electrónico de los usuarios, su lista de amigos, me gusta, comentarios y toda suerte de información que ayudaban a analizar las preferencias e intereses de los usuarios.

Aunque la información no fuera especialmente sensible y el propio personal de Facebook no estuviera relacionado, vuelve a plantear la pregunta de cómo Facebook compartió los datos de los usuarios con terceros, y hace resonar el escándalo de Cambridge Analytica que motivó esta publicación.

Si después de leer esta publicación sientes que has tenido bastante con las pifias de Facebook, en esta publicación de nuestro blog te contamos cómo eliminar tu cuenta. Claro, esa decisión solamente puedes tomarla tú.