Hay varios efectos de flujo del reciente hackeo de Facebook. Crédito:Shutterstock
Facebook anunció el viernes que su equipo de ingeniería había descubierto un problema de seguridad que afectaba a casi 50 millones de cuentas. Debido a una falla en el código de Facebook, los piratas informáticos pudieron hacerse cargo de una cuenta y usarla de la misma manera que lo haría si hubiera iniciado sesión en la cuenta con una contraseña.
La compañía dice que ahora ha solucionado el problema en su código y restableció los tokens de acceso para esas cuentas, junto con otras 40 millones de cuentas que eran vulnerables a la falla. Si se desconectó de su cuenta de Facebook la semana pasada, es probable que se haya visto afectado.
Más allá de eso, poco se sabe sobre el alcance de la brecha de seguridad. En su actualización de seguridad, Facebook dijo:"Dado que recién comenzamos nuestra investigación, aún tenemos que determinar si estas cuentas fueron mal utilizadas o si se accedió a alguna información. Tampoco sabemos quién está detrás de estos ataques o dónde se basan. "
Lo que significa
Esta no es la peor filtración de datos hasta la fecha. Ese galardón pertenece al buró de crédito Equifax, que tenía datos personales robados de las cuentas de 147 millones de personas. Pero, desafortunadamente para Facebook, Hay varios efectos de flujo de la reciente piratería.
Primero, la infracción puede contravenir el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que se introdujo en mayo. Aunque el RGPD solo se aplica a los ciudadanos europeos, las sanciones por violación de datos son severas:hasta el 4% de la facturación global por violación.
Segundo, cualquier cuenta en otras plataformas que use la verificación de Facebook también está en riesgo. Eso es porque ahora es una práctica común usar una cuenta como verificación automática para conectarse a otras plataformas, por ejemplo, utilizando una cuenta de Facebook para iniciar sesión en otra plataforma de redes sociales como Twitter, Spotify o Instagram. Esto se conoce como inicio de sesión único (SSO).
Cómo funciona el inicio de sesión único
Si se conecta a cualquier sistema, necesita alguna forma de autenticación, generalmente una credencial de inicio de sesión, como un nombre de usuario y una contraseña. Cuando tiene muchos sistemas diferentes que requieren credenciales antes de poder usarlos, de repente se enfrenta a recordar diez contraseñas diferentes (idealmente muy largas).
Algunas personas pueden hacer esto pero muchos no pueden. Y aún queremos que los sistemas sean seguros. Si pudiéramos conectarnos a un sistema en el que confiaran los demás, y use la contraseña del sistema de confianza, entonces no necesitaríamos diez contraseñas, solo una. Ese es el principio detrás de SSO.
Pero esto solo funciona mientras el sistema de confianza sea seguro. Si no lo es un ciberdelincuente podría usar la cuenta pirateada en una plataforma (en este caso, Facebook), para acceder a cualquier otra plataforma conectada.
Que deberías hacer
La autenticación suele funcionar debido a uno de tres factores:
Claramente, el uso de más de un factor aumenta la seguridad. En tu cuenta de Facebook, puede optar por utilizar la autenticación de dos factores. Eso significa que deberá ingresar su contraseña más un código que se le enviará a través de un mensaje SMS la próxima vez que inicie sesión.
El futuro de la verificación
Siempre existe una tensión entre usabilidad y seguridad. La gente quiere que los sistemas sean seguros para que sus identidades no sean robadas, y también quieren que los mismos sistemas sean fácilmente accesibles. SSO es un intento de equilibrar la usabilidad y la seguridad, pero el truco de Facebook revela sus limitaciones.
A muchas personas no les gustan las contraseñas para que elijan recordarlo fácilmente, y por lo tanto fácilmente rompible, contraseñas. Los ciberdelincuentes tienen acceso a listas de millones de contraseñas comunes (pista:"Gandalf" no es tan único como podría pensar).
Tokens de acceso, como tarjetas u otros dispositivos físicos (como lo utilizan algunos bancos, por ejemplo) son una solución, siempre y cuando no la pierda. Puede ser que usar un atributo físico único sea la mejor manera de avanzar. Después de todo, siempre llevas tu huella dactilar, iris o voz contigo.
Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original. 
