Es posible que hayas tenido referencias, desde hace ya un tiempo, de algunos escándalos y fallos de seguridad en las redes sociales, especialmente de Facebook. Uno de los últimos ha sido el aviso de la propia compañía alertando sobre un fallo de seguridad que habría puesto en riesgo la protección de datos de unos 50 millones de usuarios. En Gesprodat estamos siguiendo el caso.
¿Por qué alerta Facebook y no lo soluciona de puertas adentro?
Esta es una de las preguntas que puedes haberte hecho. La alerta sobre este tipo de situaciones es algo anticomercial que hace que la compañía pierda muchos puntos de cotización en los mercados.
Sin embargo, no es una opción. El gigante de las redes sociales está obligado, como todos, a cumplir unas normas dictadas internacionalmente con el fin de proteger los datos de carácter personal. Entre estas normas están las obligaciones de establecer unos protocolos de seguridad, vigilarlos y alertar de inmediato sobre cualquier quiebra en los mismos a las agencias encargadas. En el caso de España la AEPD.
Una vez establecida la alerta entran en marcha los mecanismos previstos en los protocolos de seguridad para que esta pueda ser restablecida, con la cooperación de la agencia.
¿Cómo ha intervenido la AEPD ante este caso de protección de datos?
Lógicamente, la AEPD ha recogido la alerta y ha evaluado su alcance, analizando así mismo las causas que han provocado la ruptura de la seguridad. Pero, en este caso, las funciones de vigilancia y supervisión de la agencia han tenido que ir un paso más adelante obligándoles a realizar un comunicado de consejos de la AEPD para los usuarios de las redes sociales.
Esto es debido a que, si bien es responsabilidad plena de quienes realizan el tratamiento de datos su protección, no es menos cierto que el propio usuario tiene un papel importantísimo en la seguridad de los mismos. Como señala el mismo comunicado de consejos de la AEPD.
¿Qué ha llevado a emitir un comunicado de consejos de la AEPD para los usuarios?
Lógicamente, una de las misiones más importantes de la AEPD es la de divulgar y promover los buenos usos. El problema que han detectado, si bien es responsabilidad de la red social, es un problema derivado de malos hábitos de los usuarios y si no corregimos esto difícilmente podemos evitar que se reproduzcan en un futuro.
¿En qué ha consistido el problema?
El problema ha venido derivado del hábito que tenemos como usuarios de dejar las sesiones abiertas en nuestros dispositivos. Seguro que tú mismo lo has hecho más de una vez o incluso frecuentemente tanto en Facebook como en otras redes sociales, como pueden ser Linkedin o Instagram.
El hecho es que no sueles entrar con tu usuario y contraseña y salir de la aplicación o de la web cerrándola, sino que dejas la conexión abierta. Esto ha hecho posible que los que han atacado el sistema a través de un hueco en el código de la red social hayan podido robar millones de tokens.
¿Qué son los tokens?
Los tokens de acceso son herramientas que facilitan no tener que utilizar el usuario y la contraseña cada vez que accedes a tu cuenta. Es decir, una especie de llave de acceso que permite a quién la tenga entrar como si fueses tú, operar con ella o robar tus datos personales y de tus contactos.
¿Qué medidas ha tomado la red social?
Lo que han hecho los responsables de protección de datos de la red social ha sido reiniciar de inmediato los tokens de casi 50 millones de cuentas y proceder al restablecimiento de otros 40 millones más.
Así mismo trabajar en las vulnerabilidades localizadas en el código que han permitido el acceso a los hackers.
¿Qué consejos nos da la AEPD?
Los consejos de la AEPD en su comunicado se encaminan a prevenir a todos los usuarios de que estos riesgos existen y que los pueden evitar fácilmente cerrando las sesiones en todos los dispositivos cuando terminen de usar la red y volviendo a iniciar sesión cuando estén activos.
El comunicado también te recuerda los enlaces a diversas publicaciones que hacen referencia a consejos específicos para tu seguridad en las redes, como son los consejos de la Oficina de Seguridad del Internauta, OIS, o la guía de seguridad en Internet de INCIBE.
¿Qué conclusiones podemos sacar?
De este y otros casos podemos sacar una conclusión evidente. La vulnerabilidad de cualquier sistema de seguridad existe, pero los protocolos han funcionado correctamente estableciendo una alerta que ha permitido su corrección urgente y la minimización de los efectos.
La protección de datos depende de la depuración de estos protocolos que se va desarrollando con la colaboración de las agencias y el análisis de los casos que se van produciendo, haciendo que la normativa también se encuentre en una constante evolución.
Pero el caso de Facebook también nos debe hacer conscientes de que nuestra participación en la protección de datos debe ser activa, ya que es nuestra privacidad la que ponemos en juego.
