Aumenta la preocupación por el hackeo a Facebook

Hace unas horas os informábamos acerca del hackeo sufrido por Facebook, y que habría afectado al menos a 50 millones de cuentas, obligando a la red social a restablecer los tokens que permiten acceder a la red social sin tener que volver a introducir el nombre y contraseña.

En la publicación de seguridad en el blog de Facebook no se dejaba claro a que datos podrían haber accedido los atacantes, aunque diversos medios han citado las palabras de Guy Rosen, vicepresidente de Product Management, en una conferencia telefónica, negando que se hubiera accedido a contraseñas o datos de tarjetas bancarias.

¿Y qué pasa con el resto de aplicaciones a las que entro con mi cuenta de Facebook?

La parte más preocupante es que, según han ido pasando las horas, hay ciertas dudas que no solo no se han despejado sino que han ido aumentando.

Y es que los tokens de los que hemos hablado no solo permiten volver a entrar a Facebook sin necesidad de introducir de nuevo la contraseña, sino que también son los que permiten iniciar sesión a través de nuestra cuenta de Facebook en otras aplicaciones como Spotify, Instagram, Tinder, Uber, etc como nos recuerdan en TechChrunch.

Los tokens a los que podrían haber tenido acceso los atacantes permiten entrar también a servicios como Instagram, Spotify, Tinder, etc.

Es decir, si un atacante se hace con el token de acceso a Facebook también consigue el acceso al resto de aplicaciones en las que ingreses con tu cuenta de Facebook.

¿Y ha ocurrido esto? Hasta ahora lo que sabemos, por las declaraciones de Guy Rosen citadas por Hipertextual, es que también se habrían restablecido los tokens de acceso para algunas aplicaciones de terceros, aunque no se ha especificado de cuales se tratarían.

¿Y ahora qué hago?

En principio, si Facebook no te ha obligado a volver a iniciar sesión en tu cuenta, no deberías haber sido afectado. Sin embargo no estaría de más cambiar la contraseña de acceso (aunque supuestamente no han accedido a las mismas), y de paso, como os dijimos hace unas horas activar la Autenticación en Dos Pasos.

Cambia tu contraseña, revisa los inicios de sesión, y activa la Autenticación en Dos Pasos. Desvincula y vuelve a vincular aplicaciones de terceros como Instagram.

En segundo lugar tampoco viene mal dirigirse a la página de Seguridad e Inicio de Sesión de Facebook y comprobar los dispositivos desde que los que se ha iniciado.

Y ya de paso, en la misma página, activar la función “Recibir alertas sobre inicios de sesión no reconocidos.

En cuanto a las aplicaciones de terceros sería conveniente cerrar nuestra sesión, y una vez hemos realizado el inicio con Facebook para que se genere el nuevo token, volver a enlazar la aplicación para vincularla de nuevo.

Por ejemplo, en Instagram, sería acudir a “Ajustes-> Cuentas Vinculadas”, desvincular la cuenta de Facebook y volver a vincularla.

Aunque lo normal, como me ha pasado a mí en varias aplicaciones, es que al intentar acceder a ellas me haya encontrado que tenía que volver a iniciar sesión con la cuenta de Facebook porque se había cerrado la anterior.

Un agujero de seguridad activo desde 2017

Por último, a la gravedad del hackeo en sí, habría que añadirle que, aunque Facebook descubrió este agujero de seguridad el pasado 25 de Septiembre, en realidad ha estado accesible desde Julio de 2017. Lo que sumado a la poca información dada por ahora, ya que en el comunicado oficial ni se mencionaba que también habían estado expuestas las cuentas de terceros, ha hecho que cada vez más gente desconfíe.

Ello ha llevado por un lado a una petición de investigación realizada por el Senador, y Vicepresidente del Comité de Inteligencia del Senado, Mark Warner. Mientras a su vez la Fiscal General del Estado de Nueva York, Barbara Underwood,  ha publicado en Twitter que estarían investigando lo sucedido.

Además también ha sido presentada una demanda por parte de dos usuarios en EE.UU acusando a Facebook de que su falta de seguridad les expone al peligro de que sufran un robo de identidad.

Carla Echavarria and Derric… by on Scribd

Seguiremos atentos a las nuevas noticias porque de momento Facebook ha podido concretar cual era el agujero de seguridad para arreglarlo (una conjunción entre la herramienta Ver como y nueva herramienta de subida de vídeo que se implementó en 2017) pero ni sabe quienes están detrás del hackeo, ni realmente hasta donde ha podido llegar el acceso a los datos.

Vía | TechCrunch (1), TechCrunch (2), The Verge, Hipertextual

Seth

Seth

Gatoflauta protestón incorregible, friki en mi tiempo libre, friki en mi tiempo ocupado, y a una cámara pegado. Android, privacidad, obsesiones tecnológicas y políticas, y escritura por desahogo. "Normal" sólo a veces.
Seth

Seth

Gatoflauta protestón incorregible, friki en mi tiempo libre, friki en mi tiempo ocupado, y a una cámara pegado. Android, privacidad, obsesiones tecnológicas y políticas, y escritura por desahogo. "Normal" sólo a veces.