Facebook admite un fallo de seguridad que dejó desprotegidas millones de contraseñas de sus usuarios
La red social almacenó entre 200 y 600 millones de contraseñas en texto plano y accesible para 20.000 trabajadores de la plataforma
Nuevo escándalo de seguridad en la empresa de Mark Zuckerberg. Facebook ha reconocido hoy que guardó durante años en sus sistemas internos cientos de millones de contraseñas de sus usuarios en texto plano, es decir, sin ningún tipo de encriptación, y que estas claves estuvieron accesibles y visibles para sus empleados, que habrían podido acceder a información privada de los afectados. Según ha informado el analista en ciberseguridad Brian Krebs en su blog Kreb son Security, el agujero de seguridad ha afectado a entre 200 y 600 millones de usuarios de la plataforma social, y las contraseñas habrían sido almacenadas desde 2012.
"Estas contraseñas nunca fueron visibles para ninguna persona fuera de Facebook y no hemos encontrado pruebas hasta la fecha de que alguien internamente abusara o accediera de forma inapropiada a ellas", ha indicado la empresa en un comunicado. La red social también ha precisado que el fallo ha afectado a "cientos de millones de usuarios de Facebook Lite (una versión de la red social que utilizan sobre todo las personas en regiones con menor conectividad), decenas de millones de otros usuarios de Facebook y decenas miles de usuarios de Instagram".
El gigante tecnológico, que ha explicado que detectó el agujero de seguridad en una inspección rutinaria el pasado enero (es decir, siete años después de que se iniciara), ha señalado que ya han solucionado el problema y que informarán a todos los usuarios afectados. La compañía habría abierto otra investigación para cerciorarse de que sus empleados no hayan hecho un mal uso de los datos a los que tenían acceso.
Según Krebs, que cita a fuentes internas de Facebook, al menos 2.000 empleados hicieron nueve millones de búsquedas entre todas las contraseñas expuestas. Facebook insiste en su comunicado en que lo que han encontrado "es que estas contraseñas se registraron inadvertidamente, pero que no había ningún riesgo real derivado (...) solo forzaremos un cambio de contraseña en los casos en que definitivamente haya signos de abuso".
Aunque la compañía no aconseja a los usuarios cambiar su contraseña, sí apunta que es importante tener una "fuerte y compleja" y propone considerar la activación de un sistema de dos factores. Según el citado blog, Facebook está tratando de localizar la causa de una serie de fallos en los sistemas de seguridad que llevó a crear aplicaciones que guardaban las contraseñas sin encriptar. La misma fuente asegura que habrían sido unos 20.000 empleados de la red social quienes tuvieron acceso a las contraseñas de los usuarios.
Facebook explica que en la actualidad utiliza un sistema de encriptación de sus contraseñas que reemplaza los caracteres escritos por caracteres aleatorios y permite validar la entrada sin tener que almacenar la contraseña en texto.