No es una feature de Facebook. Es un problema de seguridad.

No me cabe duda de que todos ustedes conocen Facebook. Otra cosa es que lo utilicen de manera asidua; yo personalmente todavía no le acabo de encontrar el gusto. La cuestión es que como saben, si buscan ustedes a alguien dentro de esta red social, no es “amigo” suyo y el perfil de la persona no es público, sólo verán lo siguiente:

faceb

Esto significa, por ejemplo, que no tendrán acceso a las fotos de esta persona, que suele ser uno de los recursos más “codiciados” de este tipo de redes sociales. Eso, en teoría, porque al parecer, según nos enteramos por Mar Monsoriu, y tal y como comentan en Geek The Planet, sí existe una forma de acceder a esta información, a no ser que el usuario haya previsto esa posibilidad previamente (algo que muchos usuarios no hacen). Sigan leyendo.

El (posible) problema

Si le echan un vistazo a la página del usuario de la imagen anterior, verán que debajo de la foto hay un enlace, que dice “Agregar a Oscar a mis amigos”, y que está formado de la siguiente forma:

http://www.facebook.com/addfriend.php?id=XXXXXXXX

donde “XXXXXXXX” es el identificador de nuestro amigo Óscar en Facebook. Este identificador aparece también en otros enlaces, como en “Enviar un mensaje a Oscar”, “Ver todo” o “Denunciar a esta persona”. El caso es que, una vez hemos obtenido el identificador, vamos a la página web para desarrolladores de aplicaciones:

En esa página, seleccionamos “Facebook PHP Client” en Formato de Respuesta, y fql.query en el desplegable de los métodos. Debajo aparecerá un recuadro donde escribir la consulta SQL que queremos aplicar sobre el identificador que hemos obtenido. Aunque es posible obtener otro tipo de información, vamos a limitarnos a los álbumes de fotos. Así pues, escriban la siguiente consulta SQL:

SELECT name, link
FROM album
WHERE owner=XXXXXXXX

Con lo que obtendremos (cuando el usuario tenga álbumes de fotos) una serie de URLs con el siguiente formato:

http://www.facebook.com/album.php?aid=17614&id=XXXXXXXX

Que sólo tendremos que pegar en el navegador para acceder al álbum de fotos.

La (posible) solución

El problema viene motivado por el sistema que Facebook tiene para desarrolladores de aplicaciones, que permite que éstas puedan acceder a algunos datos de los usuarios, si éstos no se han tomado las suficientes molestias. Otra cosa es porqué este tipo de acceso se permite, pero dejemos las reflexiones para más adelante. ¿Cómo evitamos que nuestro perfil sea visible de esta forma?

Pues la solución no está demasiado clara, ya que aunque no es complicada, no tengo claro que sea definitiva. Dentro de nuestro perfil, vamos a “Configuración”, “Privacidad”, “Administrar”, donde tendremos las siguientes cuatro opciones:

faceb2

Si nuestro perfil es “típico” y no hemos cambiado demasiadas cosas, veremos que en las tres primeras opciones todo parece correcto. Aparecemos en búsquedas públicas, pero la información que se proporciona es básica, y en general, nuestra información sólo esta accesible a personas conocidas (“amigos”). Sólo nos queda por tanto ver la parte de “Aplicaciones”.

Al entrar, nos aparecerán cuatro puntos hablando de cómo y cuándo las aplicaciones pueden acceder a tus datos, aunque como hemos visto en el anterior paso, nosotros no somos aplicaciones y sí hemos podido acceder a los álbumes de algunas personas. A continuación vamos a la pestaña “Configuración” de esa misma página, donde nos aparecerá algo como lo siguiente:

faceb3

A partir de aquí les confieso que todo se vuelve algo “borroso”, ya que no he podido hacer bastantes pruebas para determinar la eficacia de los cambios, debido a razones que les expondré luego. Todo apunta a que lo ideal sería marcar “No compartir ninguna información sobre mí a través de la interfaz de programación de aplicaciones (API) de Facebook“, pero en general esa opción aparecerá sombreada debido a que

No puedes rechazar por completo compartir información a través de la Plataforma de Facebook porque actualmente estás usando aplicaciones construidas en esta plataforma. Para dejar de compartir información tendrás que eliminar las aplicaciones que has añadido y retirar los permisos a toda aplicación externa que hayas usado.

Por tanto, deberíamos revisar las aplicaciones que estamos usando, y eliminarlas, y entonces marcar dicha opción, aunque eso puede ser un proceso no sencillo ni trivial para cualquier persona con varios meses en Facebook y un uso medio de la red social. Otra opción sería desmarcar todas las casillas, y guardar cambios, aunque francamente, no tengo demasiado claro que eso vaya a solucionar algo.

Para acabar con esta sección, aparentemente sólo los álbumes que un usuario permite compartir con los amigos de sus amigos son accesibles mediante este procedimiento, y no los álbumes que están bajo las configuraciones de privacidad “Sólo yo” y “Sólo mis amigos”. No obstante, como he dicho antes, esto es una conclusión obtenida a partir de un par de pruebas simples, por lo que podría ser que no fuese cierta del todo. Personalmente, he hecho pruebas con usuarios aleatorios con los que no tengo ninguna relación, obteniendo todos sus álbumes (en otros casos, no he podido acceder a ninguno). Por tanto, les recomiendo no poner fotos que les comprometan en algún sentido, por simple precaución.

Conclusiones

Aunque inicialmente tendía a pensar que esto que les he comentado era una vulnerabilidad de Facebook, tras ver que hay configuraciones de privacidad que pueden evitar el acceso por parte de terceros a través del portal de desarrolladores, no estoy seguro de lo que es, o mejor dicho, de cómo considerarla; aunque sea una “feature” documentada, si viola políticas de privacidad, debería considerarse como un problema de seguridad. Hay varios aspectos que me gustaría destacar:

1. La entrada de Geek The Planet que trata este problema es del 23 de mayo. Han pasado 12 días, y el “problema” continúa, aunque es posible que Facebook no considere esto un problema, sino una herramienta para desarrolladores; lo cierto es que no he visto demasiado ruido al respecto. Esa es, por cierto, una de las razones de la publicación de esta entrada.

2. Aunque el defacement de una página web corporativa, o el robo de determinada información estratégica de una organización son problemas muy graves, pienso que en general, el robo de ciertos datos de carácter personal está en otro nivel. La razón es muy sencilla. Mientras que en los dos primeros casos las consecuencias pueden estar más o menos acotadas en el tiempo y tener un relativo impacto sobre la organización, los datos de carácter personal se caracterizan por su inherente vinculación a la persona, durante toda su vida. Si en una foto salgo yo, no hay manera de limitar temporalmente ese hecho; una página web o un plan estratégico se puede cambiar, pero la foto permanecerá mientras no se destruyan todas sus copias. Ese es uno de los aspectos que a) los usuarios de las redes sociales no acaban de entender cuando cuelgan fotos suyas en Internet, y b) las grandes redes sociales no quieren asumir como responsabilidad.

3. Me preocupa la siguiente afirmación, al respecto de aplicaciones y privacidad:

Todas las aplicaciones deben respetar la configuración de privacidad existente. Por ejemplo, si una aplicación crea una presentación de diapositivas de tus albumes de fotos, y un cierto albúm está configurado para “Sólo mis amigos”, puede mostrarse solamente esta presentación de diapositivas a tus amigos.

Si crees que una aplicación está violando la política de privacidad de Facebook, denúnciala inmediatamente. Puedes hacerlo yendo a la página “Acerca de” de la aplicación y haciendo clic en “Denunciar Aplicación” al final de la página, o haciendo clic en “Denunciar” al final de cualquier área de trabajo de una página dentro de la aplicación.

En concreto, la palabra “deben”. Esto parece implicar que la gestión de la privacidad se deja en manos de los desarrolladores, y que no es impuesta por los sistemas de control de privacidad de Facebook; me resulta bastante extraño, pero eso es lo que dice el párrafo anterior. Además, el hecho de que sea posible denunciar este tipo de violaciones de la política de privacidad por parte de las aplicaciones es la confirmación de que efectivamente, las aplicaciones pueden no respetar las políticas de privacidad de Facebook; porqué esto se permite sobrepasa mi comprensión.

4. Facebook, así como Tuenti, son redes sociales donde abunda los usuarios adolescentes y universitarios. Aunque muchos de ellos están acostumbrados de sobra a Internet, Facebook tiene una variedad enorme, en cantidad y complejidad, de configuraciones de privacidad. Me da la impresión de que las implicaciones de cada configuración no se están trasladando correctamente a los usuarios, intencionadamente o no; es imperativo simplificar, unificar, y explicar qué significa cada opción y quién exactamente va a tener acceso a tus fotos, notas, comentarios, etc. Y esto es generalizable a prácticamente todas las redes sociales.

5. Les decía antes que no sabía si esto era una vulnerabilidad o una feature, pero el caso es que durante la escritura de los puntos anteriores, estoy convencido de que es una vulnerabilidad, por una sencilla razón: he buscado aleatoriamente a alguien en Facebook, y desde la red social únicamente podía ver su foto de perfil; nada más, mientras no me hiciese “amigo” suyo. Entonces he ido a la web de los desarrolladores, y con el procedimiento anterior, he podido acceder a los álbumes (siete) de esa persona, que sin duda ignora que sus fotos son accesibles libremente desde Internet, sin más que aplicar un sencillo procedimiento fácilmente automatizable. No sé si es un problema de comunicación a los usuarios o de implementación, pero sin duda es un problema grave de privacidad, en el momento permite a usuarios externos acceder a información que no es (o no debería ser) pública. Quizá no funcione para todos los usuarios y para todas las configuraciones, pero si eso no es una vulnerabilidad, no sé lo que es.

6. Aunque las políticas de privacidad hablan de aplicaciones, en ningún momento se habla de desarrolladores. Es lógico que las aplicaciones, dentro del marco de privacidad de Facebook, requieran acceder a datos de los usuarios, y en efecto, las aplicaciones solicitan autorización para ello. Pero no es lógico que las propias aplicaciones puedan “saltarse” la configuración de privacidad del usuario y desde luego, eso no incluye a los desarrolladores de aplicaciones. Este punto no sólo no está claro, sino que no se indica en ningún lugar.

7. Por último, como podrán imaginar y seguramente hace un rato que estaban pensando, esto supone una violación del artículo 94.4 del Reglamento de Desarrollo de la LOPD:

4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Ya que como hemos podido comprobar, el nivel de seguridad al realizar pruebas con datos reales no se conserva.

Poco más. Mi opinión es que este es sólo el principio; como dijo ?caro Moyano en la XI Noche de las Telecomunicaciones Valencianas, la revolución está por llegar. Tuenti tuvo un episodio similar hace unos meses, en el que —a pesar de lo que decían—, era posible enlazar a imágenes internas desde fuera de la red social. Este problema se ha solucionado (según tengo entendido), pero aparecerán más, no tengan ninguna duda; los usuarios no sólo van adquiriendo destreza informática (sin ir más lejos, aunque en principio Tuenti no deja descargarse fotos, ya hay una extensión de Firefox para “saltarse” la “protección”, por llamarla algo, además de un montón de métodos alternativos), sino que demandan más funcionalidades que introducirán a su vez más vulnerabilidades.

Lo que no hay que olvidar en ningún momento es que estamos hablando de redes sociales con millones de usuarios que comparten datos reales de sus vidas: comentarios, opiniones, hábitos, fotos, etc. Gestionar todos esos datos exige una responsabilidad especial, admitir que son algo más que un montón de información que exprimir publicitariamente, y ser consciente de su importancia.

Personalmente, para serles sincero, no estoy nada seguro de que esa conciencia exista.

* * *

Les recuerdo que hoy finaliza el plazo para el envío de preguntas al consultorio LOPD, que serán contestadas el próximo viernes 12. Nos vemos el lunes.

Comments

  1. Estoy totalmente de acuerdo en lo de la configuración de Facebook. No sé si bien por tratar de ser lo máximo personalizable posible a las necesidades e intimidad de cada cual, o a qué, casi parece un laberinto el configurar nuestra cuenta para que cualquier aporte nuestro sólo sea visible por nuestros amigos.

  2. Realmente, tan sencillo como parece.

  3. Por el amor de Pep, que cansinos con el facebook.

    Vaya forma más retorcida de entrar a los álbumes que no tienen habilitada la privacidad (habiendo scripts de greasemonkey que lo hacen con un simple click…). Además se habla más de la seguridad en facebook que en tuenti, habiendo en este último una basta “población” de menores de edad.

    Lo que sí que no me explico es por qué se forma más revuelo en torno a la seguridad en el facebook (oh no que horror, van a saber mi color favorito) cuando existen fallas gravísimas de seguridad en sistemas INFINITAMENTE más importantes (sanidad, policía, bancos, teleoperadoras…) que comprometen nuestros datos personales más críticos, y la gente en general pasa del tema.

    De hecho hace unos meses se demostró que hasta 2008 la seguridad real de las transacciones informáticas había sido 0, por la gamba monumental de los servidores DNS.

    En fin, a ver si pasa de moda el Facebook antes que el meterse con el facebook, y todos contentos.

  4. Rickowsky, una cosa no quita la otra. El hecho de comentar un problema de seguridad que hay en Facebook no implica que en Tuenti no los haya o como dices, en sistemas INFINITAMENTE más importantes. Por otro lado, esta es la primera entrada que dedicamos íntegramente a la seguridad de Facebook, por lo que no creo que sea algo excesivo ni le estemos concediendo una importancia desproporcionada.

    Respecto a la vulnerabilidad DNS de Dan Kaminsky, francamente, es/fue grave, pero empiezo a creer que algunos problemas de seguridad no son tan graves (ni a veces tan nuevos) como sus descubridores los pintan, y que como dice Fyodor, existe toda una salsa rosa de la que forman parte sus autores, la competencia, los medios y la propia Internet.

  5. Quiero aclarar que no pretendía criticar este artículo en concreto, ni este blog en particular (que me ha sorprendido muy gratamente, ya que no lo conocía).

    Pero me tienes que reconocer que el salto que ha dado el tema de la seguridad en facebook a la prensa nacional e incluso a los informativos de televisión es totalmente desmesurado.

    Leyendo el País hace un par de meses, parecía que quisieran sacar la gente a la calle con las antorchas, con anécdotas tan estúpidas como un trabajador que perdió su empleo porque se pedía bajas en el curro y su jefe lo vio en facebook de fiesta.

    Yo me quedé de piedra. Su problema no fue la seguridad de facebook, sino ser tonto del culo.

  6. yo por lo menos no pongo nada de informacion delicada en facebook,
    creo que es mas importante ser cuidadoso con lo que cada uno publica, sabemos que desde el momento que uno sube una foto a internet es muy facil que se filtre, nada te asegura que un amigo no haga un guardar como y luego lo envie por email a un grupo de amigos y cada uno la suba a su blog… listo!.. eso que tanto cuidamos se fue al carajo y nada tuvo que ver “las politicas de seguridad”.
    hay que trabajar en concientizar a los usuarios!..
    saludos. muy buen post.

  7. Estoy completamente de acuerdo en que el tema de la seguridad en las redes sociales está algo “sobrevalorado”, pero al fin y al cabo, es algo lógico. Todos sabemos que Internet sólo sale en las noticias si está relacionado con el crimen organizado, la pederastia o cualquier aspecto de índole similar.

    Por otro lado, agradecerte tanto el cumplido como el comentario, discordantes o no las voces siempre son bienvenidas.

    Un saludo.

    PS Sí, era tonto del culo.

  8. Hola

    He leído vuestro artículo y me pone los pelos de punta la “seguridad” de esta red social. Pero no debería sorprendernos, al fin y al cabo los creadores de estas redes sociales no tienen como meta principal la seguridad, si no más bien ser un sitio que la gente frecuente (en este caso para comunicarse) y generar a partir de ahí un modelo de negocio.

    ¿Es más importante la seguridad de bancos/escuelas/ministerios/… que la del facebook? Naturalmente, pero ahora estamos hablando de facebook, y no hay que escatimar en criticar su seguridad. Por poner un ejemplo que todos conocemos, muchas empresas de recursos humanos investigan en facebook como un criterio más a la hora de contratar o no a una persona.

    En otras redes (como el famoso caso tuenti de las fotos borradas que no estaban borradas) sucederán cosas como estas y me atrevo a decir que cuando se popularicen aun más, cosas peores.

    Como usuario e informático preocupado y concenciado por estos temas, siempre traté de ‘evangelizar’ a la gente en el tema de la seguridad y en otros tantos temas que me parecen graves. Con la edad, la conclusión a la que llego es que la gente no desea ser salvada.

    Seguirán utilizando estos y otros tantos servicios poniendo su privacidad en manos de otros, sin preocuparse mientras el servicio funcione y sea gratis.

    Que dios nos pille confesaos!! jeje!!

    PD: He llegado aquí por recomendación de un conocido vuestro, y no se equivocó en recomendarme vuestra web para temas de seguridad. Darle un toque de mi parte ;) (Sr. de la Guía)

Trackbacks

  1. […] Problema de seguridad en Facebook, o "feature" no documentadawww.securityartwork.es/2009/06/05/no-es-una-feature-de-faceb… por emepunto hace pocos segundos […]

  2. […] puedo agregar mucho más a lo que Manuel Benet escribe, analiza y explica en su post, salvo que tengan mucho cuidado con las fotos e información que […]