Por Pedro Canahuati, VP de Ingeniería, Seguridad y Privacidad

Como parte de nuestras revisiones rutinarias de seguridad, en enero detectamos que las contraseñas de algunos usuarios estaban siendo almacenadas dentro de nuestros sistemas en un formato legible. Este hallazgo llamó nuestra atención porque los procesos de login están diseñados para ocultar las contraseñas, usando técnicas que las transforma en ilegibles. Ya hemos solucionado este asunto y, de manera preventiva, estaremos notificando a todas las personas cuyas contraseñas fueron guardadas de esta manera.

Para ser claro, estas claves nunca fueron visibles para nadie fuera de Facebook y no hemos hallado ninguna evidencia hasta el momento de que haya habido abusos internos o accesos inapropiados. Estimamos que vamos a notificar a cientos de millones de usuarios de Facebook Lite y a decenas de millones de otros usuarios de Facebook e Instagram.

Durante nuestra revisión, analizamos la manera en la que guardamos otras categorías de información – como el acceso a tokens – y hemos corregido los problemas a medida que los fuimos detectando. No hay nada más importante para nosotros que proteger la información de la personas y es por eso que continuaremos trabajando en mejoras como parte de nuestros esfuerzos constantes de seguridad en Facebook.

Como protegemos las claves de las personas

En línea con las mejores prácticas de seguridad de la industria, Facebook enmascara las contraseñas cuando una persona crea una cuenta, de tal forma que éstas no puedan ser vistas por nadie en la empresa. Por razones de seguridad, ciframos las claves usando una práctica que incluye la función llamada “scrypt”, junto con una contraseña encriptada que nos permite reemplazar la clave de manera irreversible a través de un conjunto de caracteres elegido al azar. Mediante esta técnica, podemos validar cuando una persona está accediendo con la contraseña correcta sin tener que almacenar su clave en formato de texto legible.

Como sabemos que las personas podrían compartir, reutilizar o incluso ser víctimas de un robo de sus contraseñas, desarrollamos medidas de seguridad para proteger las cuentas:

  • Utilizamos señales distintas para detectar actividades sospechosas. Por ejemplo, cuando un usuario ingresa correctamente una contraseña desde su dispositivo y ubicación habitual, tratamos este inicio de sesión de manera diferente a como lo haríamos cuando alguien intenta acceder a su cuenta desde un teléfono no reconocido en un país extranjero. Cuando detectemos un inicio de sesión sospechoso, hacemos una pregunta de verificación adicional para demostrar que la persona es el propietario real de la cuenta.
  • Las personas también pueden registrarse para recibir alertas sobre inicios de sesión no reconocidos.
  • Sabiendo que algunas personas reutilizan contraseñas en diferentes servicios, vigilamos muy de cerca los anuncios sobre violación de datos de otras organizaciones y la publicación de las bases de datos de las credenciales que han sido robadas. Posteriormente, revisamos si esa combinación de correo electrónico y contraseña robada coincide con la misma combinación siendo usada en Facebook y si encontramos coincidencia, notificaremos al usuario la próxima vez que inicie sesión y lo guiaremos en el proceso de cambiar su contraseña.
  • Para minimizar la dependencia de las contraseñas, hemos introducido la posibilidad de registrar una clave de seguridad física, a fin de que la próxima vez que el usuario inicie sesión, simplemente toque un pequeño dispositivo de hardware que se encuentra en la unidad de USB de su computadora. Esta medida, es particularmente crítica para usuarios de alto riesgo, incluidos periodistas, activistas, cuentas de campañas políticas y figuras públicas.
Asegurando tu cuenta

Si bien las contraseñas no fueron expuestas externamente y no hemos encontrado evidencia de abuso hasta la fecha, aquí hay algunas medidas que se pueden seguir para mantener su cuenta segura:

  • Puedes cambiar tu contraseña en la sección de configuración en Facebook e Instagram. Evita reutilizar contraseñas entre distintos servicios.
  • Elige contraseñas seguras y complejas para todas tus cuentas. Las aplicaciones de administración de contraseñas pueden ser de gran ayuda.
  • Considera habilitar una clave de seguridad o la autenticación de dos factores para proteger tu cuenta de Facebook utilizando códigos de una aplicación de autenticación de terceros. cuando inicies sesión con tu contraseña, pediremos un código de seguridad o tocar su clave de seguridad para verificar que efectivamente eres tú.

Para mayor información sobre cómo mantener tu cuenta de Facebook segura, por favor visita: https://www.facebook.com/about/security.