Facebook se enfrenta a uno de los mayores escándalos en lo que llevamos de año, y eso es decir mucho incluso teniendo en cuenta que estamos en marzo. La compañía ha admitido públicamente que almacenó las contraseñas de sus usuarios de manera insegura; hasta el punto de que los empleados podían leerlas sin problemas.

Hubo un tiempo en el que crear una cuenta en una web era tan fácil como almacenar el nombre y la contraseña en una base de datos; hoy en día los estándares son mucho más altos. Cualquier servicio que se precie debe cifrar las contraseñas e implementar la mayor cantidad de medidas de seguridad posible; ni siquiera los propios creadores de la página deberían ser capaces de conseguir nuestra contraseña (por eso normalmente no nos la pueden dar si la olvidamos). Esto no es algo precisamente nuevo, pero pese a eso, durante años ingenieros de Facebook almacenaron las contraseñas de sus usuarios sin ningún tipo de protección.

Las contraseñas de Facebook fueron guardadas en texto plano

Es lo que ha revelado en exclusiva una fuente anónima de Facebook a Krebs on Security. Facebook aún no ha realizado ninguna declaración oficial porque la investigación interna aún no ha terminado; aunque la compañía conoce este problema al menos desde el pasado enero de 2019, cuando unos ingenieros de seguridad estaban comprobando código y se dieron cuenta de que había contraseñas que se estaban transmitiendo sin cifrar.

facebook

Facebook aún no sabe el alcance completo de estas malas prácticas, pero las primeras investigaciones internas de la compañía indican que las contraseñas de entre 200 millones y 600 millones de usuarios fueron almacenadas en texto plano; por lo tanto, no estaban cifradas ni “hasheadas”, dos prácticas comunes en la industria. Lo peor de todo no es eso, sino que cualquiera de los más de 20.000 empleados de Facebook podía acceder a estas contraseñas sin ningún tipo de impedimento.

La compañía aún no tiene claro durante cuánto tiempo estuvieron las contraseñas guardadas de esta manera, ni cuántos empleados pudieron haberlas leído. Por el momento, Facebook no tiene pruebas de que ningún empleado haya accedido a estas contraseñas, pero eso no significa que no hayan podido copiarlas o usarlas de alguna manera.

Cientos de millones de usuarios afectados

Cuando creas una contraseña en Facebook, esta se almacena de manera segura en la base de datos de la compañía. El problema en realidad está en las aplicaciones de uso interno desarrolladas por los empleados de la compañía, por ejemplo, para el desarrollo de nuevas funciones. En el proceso, estas aplicaciones guardaban los datos de acceso de los usuarios en los servidores sin ningún tipo de protección. En total, los registros revelaron la existencia de nueve millones de peticiones de datos, provenientes de unos 2.000 ingenieros y programadores.

contrasena password

Pese a que esto podría indicar que esos 2.000 empleados accedieron a las contraseñas, fuentes de Facebook afirman que la compañía sólo pretende avisar a los usuarios, pero no les obligará a cambiar de contraseña; eso es porque, con los datos que tiene, no cree que los programadores hayan leído personalmente las contraseñas de los usuarios. Se espera que la compañía envíe notificaciones a cientos de millones de usuarios de Facebook Lite, decenas de millones de usuarios de Facebook, y decenas de miles de usuarios de Instagram.

Desde Omicrono recomendamos que cambies tu contraseña de Facebook. Además, también deberías cambiarla si usabas la misma en otros servicios.

Actualizado: Facebook responde

Facebook ha respondido a la publicación original de Krebs on Security, confirmando que el pasado enero sus ingenieros descubrieron que las contraseñas se estaban almacenando en texto plano. En una entrada en el blog oficial, Facebook afirma que ya ha solucionado este problema, y que notificará a todos los usuarios afectados. Además, ha realizado cambios en la manera en la que se guarda información sensible relacionada con el acceso a la plataforma.

Facebook ha centrado su defensa en que las contraseñas no eran visibles desde fuera de la compañía. Además, afirma que no ha encontrado pruebas de que alguien haya podido abusar este sistema. También ha recordado que podemos dar algunos pasos para asegurar nuestra cuenta, como cambiar la contraseña o habilitar la autenticación en dos pasos; sin embargo, la compañía ha evitado recomendar que cambiemos la contraseña.

Noticias relacionadas