Una práctica cuestionable del gigante de las redes sociales
Utilizar números telefónicos de sus usuarios para campañas de publicidad, esta es solamente una más en la larga lista de prácticas engañosas e invasivas de Facebook para generar ingresos gracias a la información personal de sus usuarios. De manera contradictoria a las expectativas de los usuarios y a sus recientes declaraciones, la compañía ha estado usando información de contacto que los usuarios proporcionaron explícitamente por motivos de seguridad, o que incluso sus usuarios nunca proporcionaron, para publicidad dirigida.
Un grupo de especialistas en hacking ético han realizado diversas pruebas en un ambiente real para demostrar cómo funciona esta práctica engañosa de Facebook. Los expertos descubrieron que Facebook recopila números de teléfono de usuarios para publicidad dirigida de dos maneras diferentes: obteniendo números de teléfono usados para autenticación de dos factores (2FA), y a través de información de contacto “oculta”.
En primer lugar, cuando un usuario le da a Facebook su número telefónico por motivos de seguridad (para configurar 2FA o para recibir alertas sobre nuevos inicios de sesión en su cuenta), ese número de teléfono puede llegar a las manos de los anunciantes en cuestión de semanas (esta no sería la primera vez que Facebook utiliza incorrectamente los números de teléfono utilizados para 2FA).
Lo importante es que los usuarios no deben dejar de utilizar el mecanismo de 2FA. El problema no es con la autenticación de dos factores, ni siquiera es un problema con las debilidades inherentes de 2FA basado en SMS en particular. Es, en cambio, un problema con la forma en que Facebook ha manejado la información de los usuarios y ha desestimado sus expectativas razonables de seguridad y privacidad.
Hay muchos tipos de 2FA. La autenticación basada en SMS requiere un número de teléfono, para poder recibir un código como “segundo factor” de seguridad cuando inicia sesión. Otros tipos de 2FA, como las aplicaciones de autenticación y los tokens físicos, no requieren un número de teléfono para funcionar. Sin embargo, hasta hace apenas cuatro meses, Facebook requería que los usuarios ingresaran un número de teléfono para activar cualquier tipo de 2FA, a pesar de que ofrece su servicio de autenticación como una alternativa más segura. Otras compañías, como Google, también siguen esa práctica, considerada obsoleta por especialistas en hacking ético.
Facebook todavía tiene trabajo por hacer, incluso después de haber eliminado la solicitud de número telefónico para activar 2FA. Este hallazgo no sólo ha dado la razón a los usuarios que sospechan de las repetidas afirmaciones de Facebook sobre el “control completo” de nuestra propia información, sino que también ha dañado gravemente la confianza de los usuarios en una práctica de seguridad fundamental.
En segundo lugar, Facebook también está tomando información de contacto de sus amigos. Expertos en hacking ético mencionan un ejemplo: “Si un usuario A comparte sus contactos con Facebook, incluido un número de teléfono desconocido anteriormente para un usuario B, los anunciantes podrán dirigir un anuncio al usuario B utilizando ese número de teléfono, lo que se conoce como “información de contacto oculta”.
Esto significa que, incluso si el usuario B nunca le dio su número de teléfono a Facebook, los anunciantes podrán asociarlo con su cuenta según la agenda telefónica de sus amigos.
A medida que Facebook intenta salvar su reputación entre los usuarios tras el escándalo de Cambridge Analytica, sigue con trabajo pendiente, acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, mejorar esta práctica relativa a los números de teléfono de sus usuarios sería un buen comienzo.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad