Tras el mayor ataque de la historia contra Facebook (https://www.elconfidencial.com/tecnologia/2018-09-28/facebook-ataque-informatico-datos-50-millones_1622645/), nadie sabe cuántas cuentas hackeadas se usaban también para registrarse en servicios como Uber, Instagram, Pinterest o Spotify. Facebook no las ha mencionado, pero su número podría multiplicar exponencialmente la dimensión del desastre, que se ha cifrado en 50 + 40 millones de perfiles afectados.

"Voy a dejar de usar Facebook para registrarme en aplicaciones y sitios en línea, y tú deberías hacer lo mismo", afirma en su columna semanal de "The New York Times" el periodista experto en tecnología y negocio Farhad Manjoo (https://www.nytimes.com/by/farhad-manjoo). No es el único que ha expresado en los medios o redes sociales su recién nacida desconfianza hacia esta forma de registro, tras descubrir que Facebook no es invulnerable.

Y es que existen más de 100.000 sitios web que permiten esta modalidad de registro, bautizada como Facebook Connect cuando la compañía la lanzó en 2008 (https://download.cnet.com/Facebook-Connect/3000-10248_4-10969944.html), con un éxito tal que pronto se le unieron otros como Google o Microsoft. Hoy se llama Facebook Login y es una forma de registarse mucho más fácil para el usuario porque no debe inventar ni memorizar nuevas contraseñas: entra con sus credenciales de Facebook y son las únicas que debe recordar.

"Es lo que se llama una identidad federada", explica el Director Técnico de Securízame, Lorenzo Martínez (https://www.securizame.com). El funcionamiento es sencillo: "Un usuario solicita entrar en un servidor A usando una sesión válida de Facebook, y Facebook solicita permiso expreso al usuario para hacer esa autenticación, de forma que el usuario aparecerá en el servidor A como autenticado por un sistema ajeno, pero será suficiente", explica Martínez.

Es como si Facebook hubiese puesto una cerradura propia en la puerta de estos miles de servicios, para que pudieran entrar por ella las personas que tengan llave de Facebook. El problema es que esta llave puede caer en manos de ladrones y, aunque se sabía que había ataques esporádicos de suplantación de identidad (https://es.wikipedia.org/wiki/Phishing), nadie había imaginado un escenario con las dimensiones del actual robo millonario de cuentas a Facebook.

La red social no ha mencionado en ningún momento si había afectados por esta vía, pero según Lorenzo Martínez "tiene sentido que los haya porque el fallo de seguridad de Facebook se basaba en la generación de "tokens" que permitían impersonar a un usuario y tiene sentido que se puedan reutilizar". Un "token" es una "llave" informática que guarda las contraseñas del usuario o usuaria para aquella sesión en concreto.

Con esta llave los ladrones tienen acceso no solo a Facebook sino a todos los servicios en los que nos hayamos registrado usando la misma llave, con el nivel de control que tendría cualquier usuario legítimo. Esto significa podrían destruir o modificar lo que se les antojase, por ejemplo fechas de estancia en un apartamento de AirBnb, un billete de avión en Expedia o una cita en Tinder.

Podrían realizarse también ataques más sofisticados, usando las sesiones de los usuarios para atacar la red corporativa. Ya en julio de 2017 se mascaba esta tragedia, cuando se descubrió que era posible crear "tokens de acceso" de Facebook explotando tres fallos de seguridad y usarlos para registrarse en terceros sitios. Lo que no se sabía era que también podían robarlos.

Facebook asegura que ha forzado a 40 millones de usuarios a salir de sus cuentas y renovar sus credenciales, pero no ha hecho nada respecto a los registros en terceras webs, que tendrán que espavilarse solas. Según "The New York Times" (https://www.nytimes.com/2018/10/02/technology/facebook-hack-other-sites.html?), Uber estaría pidiendo a algunos usuarios que entraron vía Facebook que salgan de su web y se registren de nuevo, para invalidar los viejos "tokens" de acceso que pudieran quedar activos.

"Me parece una buena medida que se esté forzando al usuario a autenticarse nuevamente en aplicaciones de terceros que hagan uso de dichos "tokens"", asegura Martínez. El experto avisa que lo mismo que ha pasado con Facebook puede pasar si nos registramos vía Google u otros: "Al final es lo mismo, ninguna organización está libre de sufrir un fallo de seguridad".

La alternativa más recomendable, afirma, es tener una cuenta de correo para registrarse en estos sitios y guardar las contraseñas en un gestor de contraseñas. Además, recomienda: "En aquellos sitios que permitan doble factor de autenticación, activarlo". Otra opción, para los sitios que no permiten registrarse más que con cuentas de Facebook o Google, es "tener una cuenta en una red social que solo uses para autenticarte en estos sitios y hacerlo desde un navegador que solo uses para acceder con esta cuenta a estos sitios".

Mercè Molist
https://www.elconfidencial.com/tecnologia/2018-10-06/facebook-google-privacidad-internet-web_1626296/