Facebook Hack revela los peligros de usar una cuenta única para iniciar sesión en otros servicios
Hay varios efectos de flujo en el reciente hackeo de Facebook. Shutterstock

Facebook anunció el viernes, su equipo de ingeniería había descubierto un problema de seguridad que afectaba a casi 50 millones de cuentas. Debido a una falla en el código de Facebook, los piratas informáticos podían tomar una cuenta y usarla de la misma forma que lo haría si hubiera iniciado sesión en la cuenta con una contraseña.

La compañía dice que ahora ha solucionado el problema en su código y restableció los tokens de acceso para esas cuentas, junto con 40 millones de otras cuentas que eran vulnerables a la falla. Si se desconectó de su cuenta de Facebook la semana pasada, es probable que se haya visto afectado.

Más allá de eso, poco se sabe sobre el alcance de la violación de la seguridad. En su actualización de seguridad, Facebook dijo:

"Desde que acabamos de comenzar nuestra investigación, todavía tenemos que determinar si estas cuentas se usaron mal o se accedió a cualquier información. Tampoco sabemos quién está detrás de estos ataques ni dónde se basan".

gráfico de suscripción interior

Qué significa

Esta no es la peor violación de datos hasta la fecha. Ese galardón pertenece a la agencia de crédito Equifax, a la que se le robaron datos personales de las cuentas de 147 millones de personas. Pero, desafortunadamente para Facebook, hay varios efectos de flujo desde el reciente hackeo.

En primer lugar, la infracción puede ser contraria al Reglamento general de protección de datos de la Unión Europea (RGPD), que se introdujo en mayo. Aunque el GDPR solo se aplica a los ciudadanos europeos, las sanciones por violaciones de datos son severas, hasta el 4% del volumen de negocios global por violación.

En segundo lugar, las cuentas en otras plataformas que utilizan la verificación de Facebook también están en riesgo. Esto se debe a que ahora es una práctica común utilizar una cuenta como una verificación automática para conectarse a otras plataformas, por ejemplo, mediante el uso de una cuenta de Facebook para iniciar sesión en otra plataforma de redes sociales como Twitter, Spotify o Instagram. Esto se conoce como inicio de sesión único (SSO).

Cómo funciona el inicio de sesión único

Si se conecta a cualquier sistema, necesita algún tipo de autenticación, generalmente una credencial de inicio de sesión como un par de nombre de usuario y contraseña. Cuando tiene muchos sistemas diferentes que todos requieren credenciales antes de poder usarlos, de repente se enfrenta a recordar diez contraseñas diferentes (idealmente muy largas).

Algunas personas pueden hacer esto, pero muchas no pueden. Y todavía queremos que los sistemas sean seguros. Si pudiéramos conectarnos a un sistema en el que confiaban los demás y utilizar la contraseña del sistema de confianza, no necesitaríamos diez contraseñas, solo una. Ese es el principio detrás de SSO.

Pero esto solo funciona mientras el sistema confiable sea seguro. De lo contrario, un delincuente cibernético podría usar la cuenta pirateada en una plataforma (en este caso, Facebook) para acceder a cualquier otra plataforma conectada.

Qué deberías hacer

La autenticación usualmente funciona debido a uno de tres factores:

* algo que sabes, como una contraseña

* algo que tienes, como una tarjeta de acceso

* algo que eres, como una huella digital.

Claramente, usar más de un factor aumenta la seguridad. En su cuenta de Facebook, puede optar por utilizar la autenticación de dos factores. Eso significa que necesitaría ingresar su contraseña más un código que se le envió a través de un mensaje SMS la próxima vez que inicie sesión.

El futuro de la verificación.

Siempre hay una tensión entre usabilidad y seguridad. La gente quiere que los sistemas estén seguros para que sus identidades no sean robadas, y también quieren que los mismos sistemas sean fácilmente accesibles. SSO es un intento de equilibrar la usabilidad y la seguridad, pero el hackeo de Facebook revela sus limitaciones.

A muchas personas no les gustan las contraseñas, por eso eligen contraseñas fáciles de recordar y, por lo tanto, fáciles de romper. Los ciberdelincuentes tienen acceso a listas de millones de contraseñas comunes (sugerencia: "Gandalf" no es tan único como podría pensar).

Los tokens de acceso, como tarjetas u otros dispositivos físicos (como los que usan algunos bancos, por ejemplo) son una solución, siempre y cuando no la pierda. Puede ser que usar un atributo físico único sea la mejor manera de avanzar. Después de todo, siempre llevas tu huella digital, iris o voz contigo.

Sobre la autoraLa conversación

Mike Johnstone, Investigador de Seguridad, Profesor Asociado en Sistemas Resilientes, Universidad Edith Cowan

Este artículo se republica de La conversación bajo una licencia Creative Commons. Leer el articulo original.

Libros relacionados

at InnerSelf Market y Amazon