Facebook y 2FA: convertir la seguridad en negocio provoca un daño terrible

El caso de Facebook y 2FA es el penúltimo que pone bajo los focos a la red social por la manera en que maneja los datos personales de sus usuarios. Aún peor, por convertir un importante mecanismo de seguridad como la autenticación de dos factores en negocio propio reduciendo la confianza en el mismo.

El caso no es nuevo aunque volvió a salir a la palestra el pasado fin de semana de la mano de un tuit del fundador de Emojipedia, Jeremy Burge, donde aseguraba que cualquiera podría buscarlo en Facebook usando su número de teléfono, proporcionado a la red social para habilitar la autenticación de dos factores. El mensaje de Burge se viralizó, los editoriales han regresado y los usuarios que no se enteraron en su momento ahora lo saben. Pero viene de lejos.

2FA es una función de seguridad que conocerás como “doble identificación” o de “dos factores”. Lo emplean la mayoría de grandes servicios y empresas de Internet para garantizar la autenticación real de un usuario. Al acceso habitual a un servicio con el nombre y contraseña, 2FA suma un código enviado generalmente mediante un mensaje de texto al smartphone del usuario. Su funcionamiento exige que proporciones ese número de teléfono a la empresa en cuestión.

Este número es el que ha estado vendiendo Facebook a los anunciantes sin conocimiento ni consentimiento expreso del usuario.

Hace casi un año que un grupo de usuarios se quejaron de recibir spam en el número de teléfono que utilizaban en Facebook para activar la característica 2FA. La red social lo achacó a un error. “Lo último que queremos es que las personas eviten características de seguridad útiles porque teman recibir notificaciones no relacionadas”, escribió en una publicación en el blog de la compañía el entonces CSO de Facebook, Alex Stamos. A Stamos se le olvidó mencionar que eso era precisamente lo que estaban haciendo: vender el número de teléfono a los anunciantes para aumentar ingresos y no para lo que fue diseñado: mejorar la seguridad.

Motherboard ha consultado con varios analistas y coinciden: es un golpe para la ciberseguridad. Lamentablemente, solo un pequeño porcentaje de personas utiliza esta función, principalmente porque puede ser una carga y rara vez se requiere de forma predeterminada, lo que deja a los usuarios con la responsabilidad de activarla. Ahora, Facebook puede haber dado a los usuarios razones para no utilizarlo.

El ex-CSO de Facebook también ha contestado al caso: “se suponía que había un gran proyecto para segregar los números (los entregados par 2FA y el resto) mientras estaba allí, pero aparentemente no fue a ninguna parte. No es un error ahora, es claramente intencional“. 

Harlo Holmes, un capacitador en seguridad digital de la Freedom of the Press Foundation, explicó que el caso de Facebook y 2FA era “un ejemplo perfecto de un usuario convertido en producto”.

Es urgente parar la violación a la privacidad

Colocar a Facebook y a la privacidad en la misma línea es imposible. En materia de seguridad la red social obtiene un suspenso manifiesto desde su lanzamiento. Y va a peor. La incapacidad de Facebook para proteger los datos de sus clientes es manifiesta. Unas veces por errores y otras (peor) por la manera de manejar los datos pensando más en el negocio que por garantizar la seguridad.

Mark Zuckerberg prometió cambios para superar el año horrible de Facebook, pero los escándalos se siguen produciendo y siempre por los mismos motivos. El regulador europeo ha lazando una “consulta legal” que podría conllevar una multa multillonaria de 1.600 millones de dólares después de recibir múltiples informes de violaciones de datos que afectan a la compañía. Parece poco. Si atiendes a seguridad y privacidad el único consejo posible es #DeleteFacebook.