Por qué no es bueno ingresar a otros sitios con tu cuenta de Facebook
Facebook afirma que "no hay evidencia" de que los ciberatacantes entraron en sus sitios
Se ha vuelto popular que para ingresar a otras plataformas, lo hagas desde tu cuenta de Facebook. Crédito: Shutterstock
Ya no voy a usar Facebook para ingresar a aplicaciones y sitios web en línea. Tú también deberías dejar de usarlo.
Es la respuesta más razonable al anuncio de Facebook de que se vulneró su seguridad y ciberatacantes infiltraron las cuentas de por lo menos cincuenta millones de usuarios y, muy posiblemente, decenas de millones más. El hackeo les dio acceso a tu cuenta de Facebook y parece que también a las muchas otras cuentas a las que accedes por medio de tu usuario de Facebook: Instagram, Spotify, Airbnb, Tinder, Pinterest, Expedia, The New York Times y hasta 100,000 sitios más.
Digo que “parece que”, porque ni Facebook ni esos sitios saben bien hasta dónde llega el ataque. En un comunicado, Guy Rosen, el vicepresidente de gestión de productos de Facebook, dijo que la compañía no tenía evidencia de que los ciberatacantes accedieron a otros sitios, pero que la empresa estaba construyendo maneras más sofisticadas para que los sitios pudieran investigar si fue así.
Sin embargo, el que siquiera sea una posibilidad ya es muy preocupante. Y si el hackeo resultó en que los responsables puedan ingresar a otros sitios, Facebook debe quedar inmediatamente descalificado como tu servicio para ingresar a otros servicios.
Es una situación clásica del “Tenías un trabajo que hacer”. Tal como el confiable cuidador del edificio en el que vives podría tener una copia de las llaves para emergencias, Facebook ofreció tener la llave para cada uno de tus cerrojos en línea. Era un arreglo conveniente: siempre estaba ahí en cuanto dieras clic a un botón. También era más seguro que crear y recordar decenas de contraseñas para distintos sitios. Facebook tiene un incentivo financiero y de reputación para contratar a los mejores cuidadores de tus llaves; decenas de sitios en línea no tienen ese incentivo y, si llegaran a ser atacados y usaras esa misma contraseña en otro lado, estabas en problemas.
Pero este nuevo y extenso hackeo desmantela esos argumentos. Si la entidad a la que le confiaste tus llaves las pierde, debes llevarlas a otro lugar. Y hay muchas maneras más seguras e igual de convenientes para poder ingresar a tus servicios web.
La mejor es un administrador de contraseñas: un servicio como LastPass o 1Password que genera y recuerda contraseñas complejas para distintos sitios. Los sistemas operativos y navegadores web también han mejorado su gestión de contraseñas; por ejemplo, los últimos iPhones con reconocimiento facial te permiten acceder a sitios web con ese medio, que es igual de conveniente que darle clic al botón de iniciar sesión con Facebook.
Si por alguna razón no quieres usar un administrador de contraseñas, puedes usar el servicio de ingreso de otro gigante de la tecnología: el de Google o el de Microsoft en vez del de Facebook.
Sí, es posible que esas empresas también sean blancos de ciberataques exitosos un día. Yahoo ya lo fue, igual que LinkedIn y Equifax. Pero en este momento un servicio de ingreso a cuentas de Google o de Microsoft tiene una ventaja por encima del de Facebook: esas empresas no perdieron el control de las cuentas de 50 millones de usuarios; Facebook, sí.
Decidí dejar de usar la red social para acceder a otros servicios después de una conversación con Jason Polakis, profesor asistente de ciencias informáticas de la Universidad de Illinois, campus Chicago. Polakis ha estudiado los servicios de acceso como los de Facebook.
Reconoció que hay muchos beneficios por la conveniencia e incluso algunas ventajas de seguridad al tener una sola manera de ingresar a muchos sitios. “Obviamente, las grandes empresas como Facebook y Google tienen ingenieros increíbles y algunas de sus prácticas de seguridad están por delante de otros sitios web más pequeños”, dijo.
Sin embargo, agregó que ninguna empresa -ni siquiera las grandes y acaudaladas como Facebook y Google- pueden garantizar una seguridad perfecta.
Polakis dijo que, de cierto modo, el tamaño y complejidad de Facebook incluso lo afectan. El hackeo reciente, mencionó, parece haber sido hecho por medio de tres diferentes virus coordinados.
“La base de código de los servicios es inmensa”, dijo Polakis. “Hay diferentes equipos trabajando en distintos componentes que pueden interactuar de varias maneras; con eso puede darse un hackeo increíble que nadie espera”.
El otro peligro de usar Facebook para acceder a todo es que puede haber phishing o fraude electrónico. Incluso si millones de cuentas no hubieran sido vulneradas, las cuentas individuales son constantemente hackeadas por engaños electrónicos. El usar la misma cuenta para muchos servicios aumenta ese daño porque quien sea que ataque tu cuenta de Facebook consigue el acceso a todos los sitios web vinculados.
Y ¿por qué un administrador de contraseñas es mejor para proteger tu información que usar un servicio grande? También es posible que sea atacado, pero Polakis dijo que “en comparación a plataformas masivas que tienen millones de líneas de código y varias funciones, un administrador de contraseñas tiene un trabajo específico y eso minimiza la posibilidad de que algo salga mal”.
Le pedí a Facebook que me diera un argumento en contra de dejar de usar su servicio para iniciar sesiones. Un portavoz dijo que aún es más seguro que las contraseñas débiles que la gente crea y después usa para todo.
No es un mal argumento. Los administradores de contraseñas no son tan convenientes como el botón de Facebook y si la gente responde al ciberataque con el uso de una sola contraseña podría ser peor.
El portavoz también hizo notar que Facebook se ha tomado muy en serio el ciberataque y ha estado invirtiendo mucho más en seguridad y en prácticas de privacidad durante los últimos dos años de escándalos.
Creo que eso es cierto y que Facebook se lo ha tomado con seriedad. Quizá en algún momento Facebook se volverá a ganar mi confianza como para que le vuelva a entregar mis llaves digitales.
Pero solamente conseguirá eso si le supone algún precio perderlas. Por ahora ese costo es que cuando yo vea el botón azul de iniciar sesión con Facebook para crear una cuenta aquí o ingresar acullá, no le voy a dar clic.
