lunes, 28 de noviembre de 2011

Actualizaciones de seguridad de Facebook

El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto realizado por Cameron Camp, publicado en el blog de ESET en inglés donde podrán conocer las nuevas políticas de privacidad de Facebook y de qué manera hacer su cuenta más segura.

Facebook actualizó recientemente su configuración de seguridad. En esta guía vamos a resaltar algunas de las actualizaciones y medidas de seguridad que les ayudarán a mantenerse al día con las políticas de seguridad. Paul Laudanski escribió acerca de ellas hace un tiempo, en caso de que quieran revisarlo.

Al momento de iniciar sesión en su cuenta de Facebook, el usuario va a ser recibido con las novedades y la posibilidad de tomar un tour para conocer estas nuevas funcionalidades, vamos a empezar:

¿Con quién estás?

La primer opción es para etiquetar con quien estás, de esta manera se puede compartir con los contactos de Facebook, qué es lo que estás haciendo, en qué momento y quienes están contigo.


Esta funcionalidad es útil para hacer tu perfil más relevante, también es una herramienta de análisis ideal para los scammers (en español, estafadores), ladrones de identidad y otros ataques dirigidos como spearphishing. Si por ejemplo, un estafador observa que un usuario pasa mucho tiempo con ciertos individuos de su lista de amigos, remarca la importancia de ese contacto. En un promedio de cinco años se estima que se va a poder conocer los cinco amigos más cercanos, esto significa que los algoritmos pueden comenzar a predecir con mayor precisión cómo se va a ver una imagen. Esto crea un perfil ponderado del usuario, por lo que los estafadores conocen con mucha más precisión cómo llegar al usuario.

Es recomendable no utilizar esta funcionalidad, no porque no tengamos amigos, o que los contactos del usuario no quiera que los vean con él. Sus contactos no merecen que se puedan ser interceptados por los scammers, y si un atacante sabe con quiénes están en un determinado momento, hay mucho que se pueden conocer acerca de sus preferencias utilizando como base esa información compartida en una red social, como por ejemplo a qué restaurante han ido.

¿Cuál es tu ubicación?

En esta funcionalidad se puede mostrar en qué lugar está el usuario cuando actualiza su estado:


La opción de “Agregar ubicación” se encuentra marcada por defecto. Parece una funcionalidad muy útil, un usuario puede mantenerse en contacto con sus amigos de una mejor manera, manteniéndolos actualizados acerca de su ubicación, qué es lo que están haciendo, etc. Tengan en cuenta que un atacante podría estar interesado en la misma información. Si el usuario se tomó una foto en la playa hace dos minutes, y vive a cientos de kilómetros de cualquier playa, es seguro avisar que uno no está en casa. Este tipo de información abre la puerta a las amenazas contra la casa del usuario, después de todo, no va a estar en su casa, como mínimo por algunas horas.

Controlar la privacidad al publicar

Con esta funcionalidad se puede determinar quienes van a poder ver las actualizaciones de estado:


Existen las siguientes opciones:


Es bueno que se mencione “Público” en lugar de “Todos”. Público es una manera de decir que cualquier persona va a poder ver ese contenido, no solo aquellos que sean contactos del usuario. Según Facebook: “Esta opción significa que cualquier persona en Internet puede ver este contenido y cualquiera de tus post públicos realizados anteriormente también son visibles.”

Compartir información

Al realizar un clic en el enlace que aparece en el cuadro de diálogo se muestra más información acerca de los cambios en Facebook:


Configuración de la cuenta

En la información correspondiente a la configuración de la cuenta se puede observa cuándo fue la última vez que se cambio la contraseña:


Configuración de seguridad

En la configuración de la seguridad se pueden definir distintos valores por lo que vamos a revisar algunos de ellos y ver qué es lo que hacen:


Navegación segura

Vamos a empezar por Navegación Segura, para que el tráfico sea cifrado mientras el usuario mantiene iniciada su sesión. Esto hace que sea más complejo que un atacante intercepte la comunicación con el servidor de Facebook. Es una configuración simple y aumenta la seguridad. No se encuentra habilitada por defecto pero se puede activar de la siguiente manera:


Cuando se activa la navegación por HTTPS, Facebook automáticamente redirige al usuario a la versión https:// del sitio en lugar de una conexión normal a través de http://. La próxima vez que se inicie sesión debería ser automáticamente con HTTPS.

Notificaciones de inicio de sesión

A continuación, es recomendable activar las notificaciones de inicio de sesión. De esta manera el usuario recibe un correo electrónico cuando alguien inicia sesión en su cuenta desde un nuevo dispositivo. Normalmente, un usuario solo utiliza unos pocos dispositivos para acceder a su cuenta, por lo tanto si un atacante ingresa a su cuenta desde otro equipo el aviso de Facebook le va a avisar de este suceso.


Aprobaciones de inicio de sesión

En este punto el usuario puede elegir específicamente si desea permitir o bloquear el inicio de sesión desde un dispositivo desde el que no se ha conectado anteriormente. Si solo se accede a Facebook desde uno o algunos pocos dispositivos, esta opción tiene sentido.


Contraseñas de aplicaciones

Las aplicaciones de terceros suelen aparecer en la página principal de Facebook como un inicio de sesión que intenta acceder a la información del usuario. Si las Aprobaciones de inicio de sesión se encuentran activadas, cada vez que dicha aplicación intenta acceder a la cuenta del usuario este recibe un aviso, lo que puede resultar algo bastante molesto. En el caso de utilizar esta funcionalidad se genera el permiso para el inicio de la aplicación de terceros que luego utilizara para acceder a la información del usuario.


Entonces, si se habilita las Aprobaciones de inicio de sesión, quizás sea útil habilitar también esta opción, salvo que se desee recibir una gran cantidad de notificaciones, o no se utilicen aplicaciones de terceros.

Dispositivos reconocidos

Se trata de una lista de todos los dispositivos que fueron aprobados para poder iniciar sesión en la cuenta de Facebook del usuario, si se ha activado la opción de Aprobación de inicio de sesión. En esta opción se muestra un listado de todos los dispositivos desde los cuales el usuario ha iniciado sesión y fueron aprobados. En caso de que el inicio de sesión se realice desde un dispositivo que no fue autorizado, se solicita por un nombre para el equipo y se notifica al usuario.


Sesiones activas

En esta sección se muestra un listado de desde dónde se encuentra iniciada la sesión del usuario y se puede cerrar la sesión que no debería estar conectado. Además provee cierta información acerca del navegador y el sistema operativo que se está utilizando.


Conclusión

Facebook ha tenido un crecimiento meteórico en los últimos años, y ha estado tratando de igualar el crecimiento con una postura de seguridad acorde a ello, lo cual no es una tarea sencilla. Los cambios en la configuración de las políticas de privacidad continuarán apareciendo y esperamos que los usuarios mantengan sus políticas de seguridad actualizadas. Cuando vuelvan a aparecer nuevos cambios vamos a estar comentándoles acerca de ellos.

Cameron Camp

No hay comentarios: