.

Otros

Facebook quiere proporcionar nuestro documento de identidad de Internet

Además de nuevas medidas de seguridad para proteger los datos de todo el mundo.

  • por Simson Garfinkel | traducido por Francisco Reyes (Opinno)
  • 05 Enero, 2011

Aunque no sea evidente para muchos, Facebook está en proceso de transformarse desde la red social más popular del mundo a una parte crítica de la infraestructura de identidad de Internet Si logra tener éxito, Facebook y las cuentas de Facebook se convertirán en un objetivo aún más grande para los piratas informáticos.

Al tiempo que los profesionales de la seguridad debaten si Internet necesita una "capa de identidad"--un protocolo uniforme para la autenticación de la identidad de los usuarios—un número creciente de sitios web están votando la medida con sus códigos, adoptando "Facebook Connect" como forma de que cualquier persona con una cuenta de Facebook pueda iniciar una sesión en el sitio con sólo hacer clic en un botón.

Facebook introdujo Connect en julio de 2008, ofreciendo a las webs de terceros herramientas para coordinarse con la información de usuario que Facebook posee, incluyendo los inicios de sesión. De ese modo, los sitios web tenían la opción de permitir que los usuarios de Facebook se identificasen con sus identidades de Facebook.

Así, por ejemplo, la empresa de estadísticas web Alexa ofrece a los nuevos usuarios la opción de crear una cuenta mediante la introducción de un nombre de usuario y una contraseña, o simplemente haciendo clic en el botón "Connect with Facebook". Entre los sitios web conocidos que también utilizan Connect se incluyen la Internet Movie Database, Ask.com, y ESPN. Es casi seguro que otras empresas se subirán al tren en 2011.

El sistema de identidad de Facebook podría proveer algo que VeriSign, Microsoft, Yahoo y Google han luchado por ofrecer: un único "documento de identidad" para Internet. (Esto deja a un lado la cuestión de si es bueno que una empresa mantenga una posición de poder como esta.)

Una combinación única de factores hace que Facebook sea una web muy adecuada para el depósito de las identidades de las personas en Internet. A diferencia de muchos sitios web populares, se requiere que los usuarios se registren e inicien una sesión. Además, los términos de servicio de Facebook requieren que "los usuarios proporcionen sus nombres e información reales"--de hecho, Facebook ha cerrado cuentas que se crearon con nombres aparentemente falsos o de personajes de ficción. Dado que los usuarios de Facebook invierten en sus cuentas una gran cantidad de contenido personal—incluyendo fotografías, información de contacto, y las conexiones a su red social—es probable que mantengan una relación a largo plazo con el sitio.

Esta persistencia en cuanto a la identidad real pone a Facebook en condiciones de resolver uno de los problemas más acuciantes hoy día en Internet—la proliferación de nombres de usuario y contraseñas.

Contrariamente a la práctica actual, no hay ninguna razón para que la mayoría de sitios web obliguen a sus usuarios a crear nombres de usuario y contraseñas. La mayoría de sitios web no necesitan ni quieren llegar a necesitar administrar las identidades de sus usuarios—simplemente quieren una forma de identificar de forma fiable a sus usuarios a lo largo del tiempo. Los sitios web de medios, por ejemplo, quieren tener la posibilidad de atribuir los comentarios y limitar el spam. Las páginas de finanzas personales quieren proporcionar a los usuarios una forma de controlar la información muy personal de forma segura--por ejemplo, una cartera de acciones que el usuario pudiera introducir.

Es más, el mantenimiento de una infraestructura de identidad del usuario tiene sus riesgos—tal y como se hizo dolorosamente evidente el mes pasado, cuando los piratas irrumpieron en servidores operados por Gawker Media y descargaron los nombres de usuario y contraseñas de más de un millón de cuentas de Gawker. A pesar de que las contraseñas estaban encriptadas, muchas eran fáciles de adivinar, por lo que las cuentas podían ser fácilmente atacadas, según un análisis del ataque realizado por investigadores de seguridad en la Universidad de Cambridge. Después del ataque, varios sitios web no relacionados, incluyendo LinkedIn y Woot, enviaron e-mails de advertencia a sus usuarios para que cambiasen sus contraseñas si resultaban ser las mismas que utilizaban en Gawker.

Facebook Login permite a cualquier sitio web del planeta usar su infraestructura de identidades—y garantías de seguridad subyacentes. Facebook Login es fácil de implementar, simplemente hay que añadir unas pocas líneas de código a un servidor web. Una vez que el cambio se ha realizado, los usuarios del sitio observan un botón de "Connect with Facebook". Si ya han iniciado la sesión en Facebook (si han visitado el sitio recientemente), simplemente tienen que hacer clic en él para entrar. Si no han iniciado sesión recientemente, se les pregunta por su nombre de usuario y contraseña de Facebook.

Un beneficio adicional de interés para los operadores de sitios web es que Facebook Login proporciona el nombre real de los usuarios al sitio (en la mayoría de los casos) y, de forma opcional, una variedad de información como los "amigos" y "gustos" de los usuarios. Actualmente, Facebook no cobra a los sitios web por utilizar su infraestructura de identidad o el acceso a esta información adicional, aunque Facebook podría hacerlo en el futuro.

Facebook ya está bien familiarizada con las cuestiones de seguridad de Internet, simplemente porque tiene los datos personales de más de 500 millones de personas. El cada vez mayor uso de la plataforma de Facebook para cosas más allá de los medios de comunicación social--un banco en Nueva Zelanda, por ejemplo, anunció en noviembre que permitiría a los clientes acceder a la información bancaria en Facebook--obviamente plantea nuevas preocupaciones. Y si la empresa amplía su alcance para ofrecer un acceso universal en la red, es probable que los retos a los que deba enfrentarse sean aún mayores.

De hecho, durante los últimos años, Facebook ha tomado medidas para mejorar de varias maneras la seguridad de su plataforma.

Por ejemplo, el año pasado Facebook introdujo un sistema que permite a los usuarios solicitar una contraseña única para acceder desde una terminal pública que pudiera tener instalado un software que espíe qué teclas pulsamos en el teclado. Los usuarios envían un mensaje de texto SMS con las letras "otp" al 32665 ("FBOOK") desde un teléfono móvil registrado, y los servidores de Facebook envian de vuelta una contraseña que puede ser utilizada una sola vez para ingresar en la cuenta del usuario. La teoría es que no importa que cualquier hacker esté ejecutando un succionador de contraseña, ya que la contraseña no funciona por segunda vez.

Otra innovación es la forma en que Facebook permite a los usuarios controlar los diferentes navegadores web y dispositivos desde los que inician la sesión en Facebook. Al hacer clic en "Configuración de la cuenta" en el menú desplegable y seleccionar la sección "Seguridad de la cuenta", los usuarios de Facebook pueden ver todos los dispositivos actualmente autenticados, y cualquiera de ellos puede ser desconectado de forma remota--algo útil si nos olvidamos desconectarnos en el ordenador de nuestros padres.También podemos hacer que Facebook envíe una notificación SMS al teléfono móvil cada vez que un nuevo dispositivo tiene acceso a nuestra cuenta de Facebook. Por supuesto, si observamos una conexión desde una máquina que no reconocemos, es el momento de cambiar de contraseña.

Lamentablemente, Facebook todavía tiene dos importantes vulnerabilidades que hacen que su página web sea significativamente menos segura que las de la mayoría de los bancos de EE.UU.: su dependencia de un único nombre de usuario y contraseña para acceder a una cuenta, y su uso de una cookie sin cifrar para el seguimiento de qué navegadores están conectados.

La combinación del nombre de usuario y la contraseña proporcionan un punto de debilidad. Las cuentas de Facebook puede verse comprometidas por un atacante que lograse robar esta información desde otro sitio—o la adivinase al intentar muchas combinaciones sucesivas (algo conocido como ataque de fuerza bruta).

"Hemos construido sistemas de protección contra este tipo de ataques de fuerza bruta", afirma Simon Axten, portavoz de Facebook. "Por ejemplo, si se detecta un número sospechoso de intentos de inicio de sesión en una cuenta determinada, se requerirá un CAPTCHA, y es posible que temporalmente se suspenda el acceso a la cuenta".

Facebook controla una serie de "señales", incluyendo la ubicación y el dispositivo, afirma Axten, para determinar en qué momento una cuenta está siendo sometida a un ataque continuado. "Una vez que detectamos un intento—incluso si las credenciales de inicio de sesión se han introducido correctamente—exigiremos a la persona que esté accediendo que proporcione autenticación adicional, por ejemplo, respondiendo a una pregunta de seguridad, introduciendo un código enviado a través de SMS, o identificando amigos etiquetados en fotos a las que el titular tenga acceso".

Sin embargo, hay maneras de acceder a la cuenta de una persona en Facebook, incluso sin conocer la contraseña. Esto se debe a que Facebook utiliza algo llamado cookie de autenticación para realizar un seguimiento de los navegadores web cuando inician la sesión. A diferencia de las contraseñas de Facebook, que se cifran cuando se envían a través de Internet, las cookies se envían a servidores web de Facebook no encriptados cada vez que un ordenador se comunica con el sitio. Esto no supone un gran riesgo si estamos utilizando una conexión de Internet cableada o una inalámbrica cifrada en el trabajo o en casa. Pero si usamos Facebook desde de un punto de acceso inalámbrico sin cifrar en una cafetería o un aeropuerto, cualquiera que ejecutase un software de captura de un ordenador portátil podría robar nuestra cookie de autenticación por el aire y luego iniciar sesión en Facebook como nosotros.

Tal tipo de captura se hizo más fácil que nunca de perpetrar el pasado otoño, cuando Eric Butler, un desarrollador freelance de aplicaciones web y software en Seattle, lanzó un plug-in de Firefox llamado Firesheep, que automatiza el proceso. Con Firesheep en Firefox, se obtiene una lista de cada cookie de autenticación que ha sido capturada: sólo hay que hacer clic en el nombre de cuenta y, voilà, tendremos acceso a la cuenta del usuario sin ni siquiera tener que iniciar la sesión.

En este momento la única manera de protegerse contra la captura de cookies es mediante el acceso a Facebook usando una conexión cifrada en https://ssl.facebook.com. Según Axten, el servidor todavía está en fase de pruebas y será promovido más ampliamente como opción "en los próximos meses". Y añade: "Como siempre, aconsejo a la gente que tenga cuidado al enviar o recibir información a través de redes Wi-Fi sin garantía".

Axten asegura: "Facebook se enfrenta a un reto de seguridad al que pocas, de haberlas, otras empresas, o incluso gobiernos, se han enfrentado—la protección de más de 500 millones de personas en un servicio que está bajo ataque constante. El hecho de que menos del uno por ciento de los usuarios de Facebook hayan encontrado alguna vez un problema de seguridad en el sitio es un logro importante del cual estamos muy orgullosos".

Otros

  1. Puede que la única opción para salvar la Gran Barrera de Coral consista en manipular las nubes

    Un equipo de investigación lleva años estudiando el problema y ha llegado a la conclusión de que hacer que las nubes de la región reflejen más luz para enfriar el agua parece la mejor estrategia contra el blanqueo del coral

  2. Nueve grandes fracasos tecnológicos de 2016

    Un móvil que explota, una planta brillante que nunca llegó a brillar y un algoritmo para noticias que privilegia la información falsa son solo tres ejemplos de la lista de este año

  3. Miembros del jurado de la competición 'MIT Technology Review' Innovadores menores de 35 España 2016