Facebook, la privacidad y tú

Marc Laliberte, Information Security Threat Analyst de WatchGuard Technologies, nos explica el poder de los usuarios para frenar o limitar el impacto de futuros abusos en la protección de los datos como el que ha protagonizado Facebook recientemente.

Cuando estos días inicies sesión en Facebook, si es que no lo has hecho ya, puede que recibas una notificación en tu fuente de noticias titulada “Protección de tu información”. Si ves una de estas notificaciones significa que puedes estar entre los 87 millones de usuarios potenciales cuya información personal fue recopilada de Facebook por Cambridge Analítica, una firma de consultoría política contratada en la campaña electoral de 2016 del presidente Trump. Facebook también emitió una notificación similar a otros 2.200 millones de usuarios sobre la privacidad general de la app de Facebook. Si eres de los usuarios que se perdió una de estas notificaciones o no estás seguro de si te has visto afectado, Facebook pone a tu disposición un artículo en su centro de ayuda para que lo consultes y te informen sobre tu estado.

Estas notificaciones se producen después de un mayor escrutinio de las prácticas de protección de datos de los usuarios de Facebook y antes de que tuviera lugar el testimonio del CEO de la firma, Mark Zuckerberg, frente a los comités de Judicatura y Comercio del Senado de USA, el pasado martes.

¿Cómo llegamos aquí?

En 2015, un investigador de la Universidad de Cambridge creó una aplicación de preguntas y respuestas llamada “This is your digital life”. Los usuarios que accedieron a la aplicación le dieron permiso para rastrear su perfil y obtener información que incluyera detalles como la edad, el lugar de residencia y mucho más. Pero la cosa no se detuvo ahí. A través de una brecha, la aplicación también podía acceder a información de cada uno de los amigos de Facebook. Al final, las 270.000 cuentas que instalaron la aplicación dispararon las cuentas afectadas a 87 millones.

En ese momento, el Acuerdo de Términos del Servicio de Facebook en realidad permitía la recopilación de datos. Dicho esto, es importante tener en cuenta que, si bien el acto de recopilar estos datos resultaba completamente normal bajo las reglas de Facebook en esos momentos, entregar los datos a Cambridge Analytica y su homóloga británica SCL fue una clara violación.

Facebook ya ha cerrado la brecha que permitía el acceso total a los amigos de los usuarios.

¿Por qué es esto un gran problema?

A diferencia de los incidentes de Equifax o Under Armour, o de otras importantes y sonadas brechas de seguridad conocidas en los últimos años, a nadie se le escapó información especialmente sensible, como contraseñas, número de la seguridad social o información de tarjetas de crédito. Sin embargo, su información demográfica personal sigue siendo increíblemente valiosa en las manos correctas (o incorrectas). Por ejemplo, según los informes, Cambridge Analytica utilizó los datos recopilados para identificar a los individuos con anuncios en un intento de influir en sus puntos de vista políticos durante el ciclo de elecciones presidenciales de 2016 en USA.

Por otro lado, un hacker malintencionado podría usar la misma información para crear correos electrónicos de phishing altamente convincentes para llevar a cabo ataques aún más dañinos.

¿Cómo mantenerse a salvo?

Con cualquier cuenta online, el primer paso que se debe tomar siempre es limitar qué tipo de información se pone a disposición. Mientras Facebook requiere cierta información, como el nombre y fecha de nacimiento, el usuario puede vivir bien sin agregar dónde vive o trabaja. Cuando se trata de otras aplicaciones como Spotify y OpenTable, usar Facebook para iniciar sesión puede ser conveniente, pero a costa de la privacidad e incluso de la seguridad. Fuimos testigos de un ejemplo del impacto de seguridad el año pasado cuando una aplicación falsa de Facebook comenzó a enviar listas de amigos poco antes del Día de San Valentín.

En la mayoría de los casos, el usuario puede y debe limitar el acceso que las aplicaciones de terceros tienen en la configuración de privacidad de su perfil. Además, se debe tener en cuenta revisar de forma trimestral la política de privacidad de las cuentas en redes sociales para restringir o eliminar el acceso de las aplicaciones que ya no se usan.

Esta no es la primera ni será la última vez que una organización recolecte datos de las redes sociales. Sin embargo, si los usuarios son conscientes de lo que publican online, pueden limitar el impacto de potenciales incidentes similares en el futuro y mantener la información privada en privado.