De nuevo debo escribir sobre una brecha en la seguridad de nada mas y nada menos que del gigante de las redes sociales, Facebook (NASDAQ:FB), con sede corporativa en Menlo Park, California.
El pasado viernes 28 de septiembre de 2018, Facebook anunció una brecha significativa en la seguridad de su portal por parte de ciberhampones, aún no identificados, lo que ha puesto a usuarios globales de unas 50 millones de cuentas a riesgo de robo de sus identidades y privacidad, entre otros muchos aspectos y consecuencias colaterales. Esta situación se empeora cuando la brecha pudiera haber alcanzado la base de datos de otros tantos servicios externos a los cuales el usuario ingresa utilizando las credenciales de Facebook.
¿Cómo y por qué ocurre esto? La manera mas “sencilla” de explicar una situación de esta talla, no en el caso específico de Facebook, sino mas bien de cualquier plataforma de redes sociales o productos en línea, es la siguiente:
- Defectos en el código fuente (programas) del portal
- Fraude (“hackeo”) perpetrado de manera interna y/o externa
- Fallas en el “patch management” en el que los productos de seguridad sugeridos por los proveedores (ej.: Windows, proveedores de firewalls, routers, etc.) no fueron aplicados de manera efectiva u oportuna.
- Puertos de red expuestos inadvertidamente por fracciones de segundos, e inclusive nanosegundos, lo que habría abierto las puertas a los hackers para entrar a la red y realizar sus ciberfechorí
- Todo lo anterior.
Todo aparenta que este fraude viene dado por las opciones 1 y 2, a través de las cuales los hackers habrían explotado una vulnerabilidad relacionada a la subida de vídeos por partes de usuarios en julio de 2018, así como el robo de “access tokens” de las 50 millones de cuentas víctimas. Esto le daría a los hackers acceso a la información completa de los usuarios.
Facebook, en su perenne ambición de posicionarse y consolidarse como la plataforma de redes sociales número uno en el mundo, toma riesgos que se permean a su base de usuarios. Contínuamente adquirir empresas tecnológicas para pretender conocer que hace cada usuario fuera de Facebook, o simplemente sugerirle a los usuarios el ingresar a otras páginas web con las credenciales de Facebook (como por ejemplo, sitios de música tipo Spotify, sitios de citas y amistad tipo Tinder, etc.) no solo es atrevido, sino también de alto riesgo legal y financiero para este gigante, así como para toda su audiencia. Es así, como la información personal de cada usuario, incluyendo sus preferencias de navegación en la web, pudiera ser fácilmente obtenida y “analizada” por Facebook para efectos de mercadeo y elaboración de nuevos productos, o adquisición de nuevas empresas.
Esta desafortunada brecha pudiera costarle a Facebook la módica suma de US$1.600 millones en multas y sanciones de la unión europea dadas las provisiones de la reciente ley denominada “General Data Protection Regulation”, o simplemente GDPR.
Siempre insistiré en la contínua necesidad de revisar los planes de seguridad informática, los cuales deben en todo momento estar alineados a los planes generales de sistemas, y estos a su vez sincronizados con los planes estratégicos de negocio, incluyendo las metas de desarrollos y adquisiciones de empresas y soluciones. Introducir nuevas empresas, productos o soluciones tecnológicas a la ecuación corporativa requiere de un análisis profundo del impacto que esto tendría sobre los objetivos corporativos a corto, mediano y largo plazo, incluyendo la operación de la empresa, sus finanzas, y su base de clientes y usuarios.
Al final del día el usuario tiene la última palabra, y es él o ella, quien decide cuánto debe permitirle a una plataforma de redes sociales invadir su privacidad. Al igual que en la era pre-internet, nuestros niveles de privacidad hoy en día dependen de nosotros, no de Facebook, Twitter o Instagram. Esperemos este incidente cibernético sea pronto controlado y no afecte la seguridad y privacidad de su base de usuarios.