No está el horno para bollos, como suele decirse. Flaco favor supone para Facebook la advertencia lanzada por Symantec, que a través de su blog ha revelado un gravísimo fallo de seguridad por el que desarrolladores y anunciantes han podido acceder a información personal de millones de usuarios. No hablamos únicamente de la consulta de perfiles o fotografías, también el acceso a chats o el posteo de mensajes en muro ajeno.
La compañía ha informado de la brecha a Facebook en cuanto ha tenido constancia, asegurándose que Zuckerberg y compañía ya han comenzado a tomar medidas al respecto. Poco consuelo si tenemos en cuenta que el agujero ha permanecido ahí durante todo el mes de abril. ¿Nuestro consuelo? Las third-parties no han sido conscientes de que se les brindaba semejante posibilidad.
Más de 20 millones de aplicaciones son instaladas en Facebook cada día. Sí, los absurdos tests o programas de etiquetado masivo han sido la puerta de entrada a nuestros datos. Se calcula que unas 100.000 aplicaciones lo habrían permitido, concretamente las de tipo IFRAME, que inadvertidamente han facilitado códigos de acceso a terceros.
Dichos códigos (tokens en inglés) equivaldrían a llaves maestras con las que cualquiera puede navegar por la red social como Pedro por su casa. Cada clave permite una acción concreta, desde consultar el muro de un usuario o acceder al perfil de sus amigos a la publicación y gestión de contenidos en cualquier cuenta.
Afortunadamente la mayoría de estos permisos expiran tras un corto periodo de tiempo, aunque también se reportan los que facilitan acceso permanente hasta que el usuario no cambie su contraseña, incluso aún cuando no esté conectado.
La causa de este agujero vendría determinada por la persistencia de ciertas aplicaciones en antiguos esquemas de autentificación. En estos momentos Facebook se empeña en estimar a duras penas cuántos de estos tokens han sido remitidos, pudiendo tratarse de un problema que venga de largo, más concretamente desde la llegada de las primeras apps a la plataforma en 2007.
¿Qué podemos hacer los usuarios? Simple: cambiad vuestra contraseña. Hacedlo ahora mismo, en cuanto podáis, sólo así imposibilitaréis cualquier intrusión.