La compañía líder del boom de los medios sociales -y de no pocos escándalos de seguridad y privacidad - tiene más usuarios de lo algunos países tienen de habitantes, y uno de los problemas que se presenta es el tremendo número de intentos de ingreso cada día. Facebook ve aproximadamente 1,100 millones de intentos de inicio de sesión diariamente, y obviamente algún porcentaje de estos son ataques o intentos de phishing. Lo que la compañía ha hecho para intentar vencer las campañas de phishing a gran escala es comenzar a utilizar una variedad de sistemas de verificación secundarios que determinen si un usuario que ha fallado en el primer intento de autenticación es realmente el usuario.

 

"Necesitamos introducir fricción a los usuarios, pero puede tener un efecto negativo. El concepto de intentos de inicio de sesión sospechosos no es fijo. Cambia continuamente", dijo Alex Rice, líder de seguridad en productos y del equipo de privacidad de Facebook, en una plática en la conferencia CanSecWest el miércoles en Vancouver, Canadá. "Los falsos positivos en este tipo de clasificación no sólo son esperados, sino muy, muy comunes".

 

Una de las cosas que Facebook está intentando es un sistema que le pide a los usuarios que identifiquen a sus amigos en una serie de fotos. El usuario es informado que, para aprobar el reto, no puede equivocarse en ninguna de las preguntas. Sin embargo, esto no es correcto.

 

"Eso es una vil mentira", dijo Rice. "Puedes equivocarte en varias de las preguntas y pasar la prueba. La razón es que hemos encontrado que cuando les decimos esto último a los usuarios, usualmente realizan la prueba apresuradamente. Cuando les mentimos, se toman mayor tiempo pensando en las respuestas. Es uno de los pocos sitios donde simplemente le mentimos a los usuarios".

 

Este método tiene algunos problemas; sin embargo, uno de ellos es el proceso de seleccionar fotos para el reto. Esto se realiza automáticamente, y el sistema ocasionalmente le mostrará al usuario una foto donde no existe un rostro reconocible. Y el sistema también implica riesgos de privacidad alrededor de las fotos. Si un atacante está intentando ingresar a la cuenta de una víctima y se encuentra con el reto, puede ver varias fotos que le den más información acerca de su blanco.

 

Facebook también tiene un sistema que permite que tres de los amigos del usuario validen su identidad si el usuario no puede acceder a su cuenta y ha olvidado su contraseña. Ninguno de estos sistemas es ideal, pero Rice dice que muchas de las alternativas tradicionales, como autenticación de doble factor, están fuera del alcance de la compañía.

 

"No podemos utilizar tokens, porque implicaría muchos problemas. Aunque pudiéramos pasar el costo de éstos a los usuarios, entregar los tokens a incluso un porcentaje pequeño de nuestros usuarios sería difícil", dijo.

 

Lo que Facebook está intentando lograr con estos sistemas no es derrotar todos los ataques, sino convertir las grandes campañas de phishing en algo impráctico en el sitio.

 

"Esencialmente, hemos llegado al punto donde podemos resolver el problema de phishing a gran escala", comentó. "Y hace un año y medio eso era algo definitivamente que no podríamos haber dicho. El phishing era uno de los problemas más importantes en nuestro sitio".