Facebook y la (in)seguridad: Un resumen (I)

Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha
convertido en un punto de referencia en Internet. En los últimos meses,
además, la seguridad en Facebook ha dado demasiados dolores de cabeza a
la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la
protección del portal.

El problema de Facebook ha sido, históricamente, la privacidad. Un punto
de encuentro tan popular donde 600 millones de personas introducen
tantos datos y fotografías requiere que sus usuarios confíen en el
portal al máximo y además de unos mecanismos y una infraestructura
adecuados que garantice su intimidad. Y Facebook está proporcionando
esta seguridad… poco a poco. Como es habitual, han aprendido a base de
ensayo y error, y cada error ha sido un pequeño golpe a su imagen.
Aunque sí es cierto que no ha sido el centro de enormes escándalos y que
goza de una salud envidiable, sí que se ha visto obligada a ponerse
manos a la obra para mejorar la seguridad global de portal. El 26 de
enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una
serie de problemas y ataques. Repasemos algunos hitos interesantes.

El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba
dos mejoras importantes con respecto a la seguridad.

* La primera es el uso de conexión segura (SSL) no solo a la hora de
introducir la clave, sino durante toda la sesión. Esto es una medida que
llega muy tarde, y en respuesta directa a herramientas como Firesheep.
Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna
varias herramientas de forma muy cómoda. Pone la tarjeta de red del
sistema en modo promiscuo (a “escuchar” todo el tráfico de red local no
segmentada) y extrae automáticamente los datos que le interesan (la
cookie de sesión) de ciertas páginas no protegidas (entre ellas
Facebook) y permite que un usuario suplante la identidad de otros que
naveguen en la misma red local. Esto ya se puede hacer con un sniffer,
un proxy local, envenenamiento ARP, etc… pero Firesheep demostró lo
fácil que puede resultar para cualquiera robar la sesión a través de un
solo click. La solución es también sencilla: cifrar toda la información.
Facebook ha reaccionado permitiendo que toda la sesión se base en SSL,
pero de forma opcional, lo que todavía deja en manos del usuario la
decisión de que su sesión permanezca protegida o no. Es una medida
necesaria pero insuficiente.

Además existe Borogove, otro programa que facilita con mecanismos
similares la obtención de conversaciones de chat dentro de Facebook.
Aunque se supone que debería estar protegido por el cifrado, el sistema
de chateo no funciona correctamente bajo el cifrado.

* Autenticación Social. Esto, en resumen, es eliminar el tradicional
CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar
que eres un ser humano. Troyanos como koobface han demostrado que los
CAPTCHA no son infalibles. Recordemos que el troyano Koobface,
“secuestraba” el sistema y pedía a la víctima la resolución de varios
CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente
para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas
como esclavos o “CAPTCHA brokers”.

Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook
por demostrar que están comprometidos con la seguridad y la privacidad
de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la
categoría “amigos de amigos”), en diciembre de 2009 (facilitó los
controles para proteger la seguridad de las cuentas), etc…

En la siguiente entrega, veremos cuáles han sido los problemas de
seguridad con los que se han enfrentado en los últimos tiempos.

Fuente