Cuántas veces inicias sesión en una web a través de tu cuenta de Facebook? Son muchas las web que ofrecen esta opción, a través de las API de la red social, porque le resulta más cómodo y más fácil al usuario logarse y no tener que dar sus datos, pero ¿sabemos realmente qué datos de nuestro perfil de Facebook recopilan?
Investigadores del Center for Information Technology Policy de Princeton advierten de que el mecanismo de login en una web a través de Facebook está siendo utilizado por terceros para obtener datos del usuario, como correo electrónico y perfil público.
¿Cómo lo hacen? Según el estudio, debido a la “falta de fronteras para los datos de Facebook”. Para ello, incrustan scripts en la web que leen esa información, pero los investigadores no han podido confirmar que el sitio web original conozca esta práctica llevada a cabo por los llamados rastreadores –de hecho algunos de ellos, tras la publicación de esta investigación dejaron de recopilar los datos–.
Cuando un usuario hace clic en ‘Iniciar sesión con Facebook’ se le solicita que permita que el sitio web que visita acceder a parte de su información de perfil. Estos sitios pueden solicitar desde la dirección de correo electrónico del usuario y su ‘perfil público’ –nombre, rango de edad, sexo, ubicación y foto de perfil– sin necesidad de activar una revisión manual de Facebook.
Además, una vez que el usuario permite el acceso, cualquier Javascript de terceros incrustado en este sitio web también puede extraer información del perfil de Facebook del usuario, como si fuera la primera parte.
Así, usar el inicio de sesión con Facebook en otras entraña sus riesgos: por ejemplo se Cambridge Analytica hizo un uso incorrecto de los datos de los usuarios recopilados mediante una aplicación de cuestionario de Facebook que utilizó la función Iniciar sesión con Facebook. A esto hay que añadir un riesgo adicional: con esta práctica el usuario no solo confía sus datos a esa web, sino también a los terceros integrados en ese sitio.
En la conclusiones de esta investigación se incide en el hecho de que el uso de este tipo de API debe auditarse para “revisar cómo, dónde y qué partes acceden a los datos de inicio de sesión”.