Facebook almacenó entre 200 y 600 millones de contraseñas en un texto a la vista de miles de empleados
SOCIEDAD
La red social asegura que las claves expuestas, entre ellas las de decenas de miles de usuarios de Instagram, nunca salieron de la compañía
21 mar 2019 . Actualizado a las 19:48 h.El sistema de Facebook está diseñado para enmascarar las contraseñas de cada usuario de manera que estas no sean legibles por nadie más. Pero los sistemas a veces fallan y, en el caso de la red social, patinaron con «cientos de millones» de cuentas cuyas claves de acceso estaban guardadas en una base de datos con formato de texto convencional, sin ningún tipo de encriptación y a la que los empleados de la compañía podían acceder.
La compañía de Mark Zuckerberg admitió ayer que el fallo fue descubierto en el mes de enero durante una revisión rutinaria y asegura que el problema ya está solucionado, aunque enviará una notificación a todos los usuarios de cuentas que se hayan visto comprometidas. En concreto, las cifras de afectados de las que habla la compañía son «cientos de millones de usuarios de Facebook Lite [una versión que se usa principalmente en regiones con baja conectividad], decenas de millones de otros usuarios de Facebook y decenas de miles de usuarios de Instagram», según detalla el comunicado oficial firmado por Pedro Canahuati, vicepresidente de ingeniería, privacidad y seguridad.
Aclara, no obstante, que ninguna persona ajena a la empresa ha podido tener acceso a esta información y que no existe constancia de que nadie desde dentro haya hecho uso de esas contraseñas de manera incorrecta o comprometedora.
Facebook comunicó este error de sus sistemas de privacidad después de que una fuente interna lo revelara al portal sobre seguridad KrebsOnSecurity. De acuerdo con esta fuente, este fallo venía arrastrándose desde el 2012. «La fuente de Facebook dijo que hasta ahora la investigación indica que entre 200 y 600 millones de usuarios de Facebook podrían haber tenido sus contraseñas almacenadas en formato de texto y estas podían ser buscadas por más de 20.000 empleados », escribió el portal.
El comunicado emitido por la red social explica que sus responsables son conscientes de que la gente suele utilizar una misma clave para distintos servicios y esa es la razón por la cual las enmascara para que nadie dentro de la compañía pueda verlas. «En términos de seguridad, machacamos y salamos las contraseñas, lo que incluye usar una función llamada scrypt así como una clave criptográfica que nos permite sustituir de forma irreversible tu actual contraseña por un conjunto de caracteres al azar», detalla Pedro Canahuati, que afirma que este sistema hace posible validar una contraseña correcta sin tener la combinación real almacenada en formato de texto.
A pesar de no haber detectado que se haya hecho un uso incorrecto de las contraseñas que han quedado expuestas, los responsables de Facebook animan a los usuarios a cambiar las claves de acceso a Facebook e Instagram y recomiendan que estas sean únicas y no se reutilicen para distintos servicios. También aconseja que las combinaciones se refuercen con códigos complejos, recurriendo incluso a claves de seguridad y autenticación en dos pasos.