La semana pasada, Facebook se encontró al centro de un fallo de seguridad que puso en riesgo la información personal de millones de usuarios de la red social.
El 28 de septiembre surgió la noticia de que un atacante explotó una vulnerabilidad técnica en el código de Facebook que le permitiría ingresar a las cuentas de cerca de 50 millones de personas.
Si bien Facebook fue rápido en atender la vulnerabilidad y corregirla, señalan que no saben si alguna cuenta fue efectivamente vulnerada.
Este fallo sigue al escándalo de Cambridge Analytica de principios de este año que resultó en un grave mal manejo de los datos de millones de personas que usan Facebook.
Ambos eventos ilustran que no podemos ser complacientes con la seguridad de los datos. Las empresas que resguardan datos personales y sensibles deben estar muy atentas a la hora de proteger los datos de sus usuarios.
Sin embargo, incluso las más vigilantes también son vulnerables. Incluso un simple fallo de seguridad puede afectar a millones de usuarios, como podemos ver.
Hay algunos aspectos que podemos aprender de esto que aplican a otras conversaciones sobre seguridad: implementarla bien es notoriamente difícil y los atacantes persistentes encontrarán errores para explotar. En este caso, se trató de una combinación de tres errores en la plataforma de Facebook aparentemente sin relación entre sí.
Esta es una lección para cualquiera que diga que puede construirse un acceso excepcional de forma segura. No es un momento para el júbilo, sin embargo. Creo que la transparencia con la cual los ingenieros de Facebook se enfrentaron a este problema contribuirá a los esfuerzos de la red social para reconstruir la confianza con sus usuarios. Y seamos sinceros, esos ingenieros encontraron el problema ellos mismos a través del monitoreo de sus sistemas.
Facebook no solo proporciona los medios técnicos de acceso a sus propios servicios, sino también para otros. Si bien aún no hay pruebas de que se hayan comprometido las aplicaciones de terceros, creo que debemos pensar en descentralizar algunos de estos mecanismos de inicio de sesión antes de que colapse uno de estos castillos de naipes. No se trata de algo trivial, ya que construir y mantener estos sistemas de manera segura requiere de muchos recursos, que no están disponibles para todos.
Se trata de un problema complejo, que está ganando notoriedad como un asunto significativo que debemos resolver pronto si realmente queremos ver una Internet abierta, globalmente conectada, confiable y segura para todas las personas.