lunes, 27 de marzo de 2017

¿Por qué Facebook a veces ter permite ingresar con la contraseña mal escrita? (No es un problema de seguridad)

Seguro que, en más de una ocasión, has introducido tu contraseña de Facebook de forma errónea. Te has percatado, claro, cuando esta red social te ha impedido acceder a tu cuenta indicando que algo habías puesto mal. Sin embargo, en un mundo donde se prevé que el sector de la ciberseguridad facture cerca de 80.000 millones de euros en 2018 (según datos de la Consultora Gartner publicados en este informe del Instituto Nacional de Ciberseguridad de España), existen una serie de supuestos en los que el gigante dirigido por Mark Zuckerberg hace la vista gorda y te permite acceder a su universo sin que los datos sean 100% correctos.

La razón es sencilla. Esto no supone un problema de seguridad para Facebook, sino un avance en usabilidad, según explican desde la propia compañía. Ahora bien, ¿cómo nos permite acceder la red social y cómo se supone que nos protege?

Tres contraseñas diferentes para tu perfil
Ya han sido muchos, como el periodista Emil Protalinski, los que se han percatado de la existencia de tres contraseñas diferentes para acceder a una misma cuenta de Facebook. En este sentido, la plataforma es capaz de crear a partir de una credencial dos nuevas con pequeñas modificaciones basadas en mayúsculas y minúsculas.

Para ello, tiene en cuenta dos circunstancias. La primera se da cuando el usuario tenga activado el botón de las mayúsculas (o incluso porque invierta, sin percatarse, las mayúsculas y las minúsculas de la clave original) y la segunda se produce en el caso de que ponga la primera letra en mayúscula, ya sea por costumbre o porque estemos escribiendo desde un teclado preconfigurado para ello. Así que si, por ejemplo, nuestra contraseña de Facebook es “aaa777”, también podremos acceder con “AAA777” o “Aaa777”.

En este sentido, el equipo de seguridad de Facebook declaró que estas variaciones no influyen en la seguridad de las contraseñas del usuario. Para ello existen otros mecanismos de verificación. Es lo que sucede cuando, por ejemplo, se inicia sesión desde un dispositivo cuestionable por su seguridad o desde dos lugares que están muy separados espacialmente entre uno y otro: en ese caso, se solicitará un código.

Un caracter más para tu clave
La combinación equivocada de mayúsculas y minúsculas no es la única forma de acceder con una contraseña errónea a Facebook. Si añades un caracter más al final de tu contraseña, la aplicación también te permitirá entrar a tu perfil. Ya sea un número o una letra, en mayúscula o en minúsculas, estarás dentro aunque tu contraseña no sea cien por cien válida. Solo tienes que hacer la prueba y ver como, sin ningún mensaje de advertencia, accedes a tu muro.

De hecho, la contraseña no es lo único que admite fallos, ya que el correo electrónico con el que se accede también puede escribirse ligeramente modificado. En este caso, te permitirá equivocarte en hasta tres caracteres. Ya puedes escribir ‘gmil.com’ o ‘hotail.es’ que puedes acceder sin problemas.


En este caso, lo único que Facebook tiene en cuenta es que la contraseña sea al 99% correcta, ya que también te permitirá combinar una contraseña con un caracter de más con los errores en la dirección de correo electrónico.

En caso de que metas considerablemente la pata con tu contraseña, Facebook tendrá dudas de si solo ha sido un error o de si realmente existe alguien que no eres tú intentando acceder a tu cuenta privada. Así que te pedirá confirmación de identidad a través de tu fecha de cumpleaños o verificando las fotos de tus amigos.

Todo sea por la usabilidad
Investigadores de la Universidad de Cornell, el MIT y Dropbox se unieron para llevar a cabo una investigación sobre estas típicas erratas en contraseñas, que para muchos podrían comprometer la seguridad de los usuarios. Sin embargo, comprobaron que esta flexibilidad que muestra ahora Facebook no solo no incrementa significativamente los ataques sino que también nos ahorra mucho tiempo, mejorando la usabilidad de las plataformas.

Para llevar a cabo su estudio partieron precisamente de las tres posibles variables de las contraseñas de Facebook y comenzaron a investigar qué ocurriría si se aceptaran algunos fallos predeterminados en las contraseñas. Para ello, realizaron un experimento con la plataforma de almacenamiento en la nube Dropbox, con más de 500 millones de cuentas creadas.

Durante 24 horas estudiaron cuáles eran los fallos de los usuarios al intentar acceder a sus perfiles. De este modo, comprobaron que un 3% de los usuarios podrían haber accedido si se permitiera errores tan comunes como las mayúsculas activadas o un caracter más en la contraseña. Esto también le hubiera ahorrado esfuerzo a otros muchos usuarios que tuvieron que realizar varios intentos para lograr acceder.

Los investigadores también tuvieron en cuenta ciertas contraseñas como ‘abcde’, que podrían suponer un peligro si, por ejemplo, un delincuente informático descubre que le funciona una secuencia de letras sencilla. Sin embargo, esto se puede evitar a través de verificadores de contraseñas que no acepten estos fallos en determinados casos. Teniendo en cuenta todas estas variables, el informe concluyó que los posibles atacantes no lograrían una ventaja superior al 0,02% de éxito.

Aunque estos supuestos fallos no parezcan suponer excesivos problemas, la compañía sí ha tenido que resolver algunas vulnerabilidades que ponían en riesgo la privacidad de sus usuarios. Hace un año, el investigador de seguridad Jack Whitton les advirtió de la posibilidad de subir una imagen PNG con código HTML modificado a través de su plataforma de anuncios Ads Manager. Esto suponía que un atacante podría utilizar este servicio publicitario para, a través de los clics de los usuarios, acceder a sus mensajes privados y publicar contenido en su nombre.

Facebook tardó menos de seis horas en arreglarlo y Whitton ganó 75.000 dólares gracias al sistema de recompensas de la red social, el cual premia a todas aquellas personas que detecten alguna irregularidad, la documenten y la envíen a la plataforma siguiendo sus indicaciones.

Precisamente por casos como este, y por mucho que Facebook nos deje errar en nuestra contraseña de forma premeditada, lo mejor es andarse con cuidado y contar con la seguridad adecuada para usar nuestras redes sociales de forma tranquila. Eso es, precisamente, lo que permiten soluciones como Vodafone Secure Net, que te permite navegar protegiéndote a ti y a los tuyos de cualquier tipo de ciberataque (virus, robos de identidad, etc.) siempre que estés conectado a la red Vodafone: equivócate en tus contraseñas todo lo que haga falta, pero que nadie se aproveche de tus fallos.




Publicar un comentario