• Tweet

El sistema de contraseñas de la red social es demasiado simple, dice experto de la firma de seguridad Cenzic.

Ante las amenazas del grupo de hackers Anonymous sobre la red social Facebook, en las que anunciara "la muerte de Facebook" el 5 de noviembre, algunos investigadores están criticando la seguridad de la compañía, indicando que ésta podría ser mejor.

"Comenzamos a probar el sitio web, reportándoles las vulnerabilidades encontradas", dijo Mandeep Khera, director de marketing de la consultoría de seguridad Cenzic, acerca de Facebook, que desde mediados de julio comenzó un programa de recompensas para alentar el reporte confidencial de investigadores de seguridad acerca de cualquier problema de seguridad que afectara directamente a Facebook. Sin embargo, Khera dice que Facebook ignoró los problemas que Cenzic informara en días pasados, los cuales están relacionados con vulnerabilidades de seguridad que la consultoría cree ha identificado en los procesosde inicio de sesión y contraseñas, entre otras cosas.

Apesar de ello, Khera señala que Facebook aparentemente corrigió ayer un problema relacionado con el término de sesión utilizando el navegador Internet Explorer, el cual ocurre cuando el usuario cierra sesión utilizando IE y retrocede algunas página, ocasionando que el sitio inicie sesión automáticamente. "Dicen que no pueden reproducir la vulnerabilidad pero parece que ya la arreglaron", comentó Khera.

Cenzic critica el sistema de contraseñas que utiliza Facebook, el cual, de acuerdo a Khera, utiliza seis caracteres y "toma 30 segundos para vulnerar". También culpa a Facebook de no utilizar SSL (un tipo de comunicación segura para la transmisión de contraseñas y otra información confidencial) en el proceso de inicio de sesión. "Esto puede ser capturado por cualquiera", indica. También se queja de la función de autocompletado de contraseña de Facebook, indicando que "como buena práctica, no debería completar la contraseña automáticamente". Critica también el "mal mensaje de inicio de sesión" porque dice que revela demasiada información al decir que no se introdujo la dirección de correo electrónico correcta, por ejemplo.

Luego de que Cenzic reportara estos hallazgos a Facebook, "nos dijeron que, en relación a las contraseñas y SSL, son 'mejores prácticas', no vulnerabilidades", dijo Khera. "Por lo que nuestra respuesta fue, ¿no debería seguir las mejores prácticas, dado que todo el mundo los está vulnerando-"

El grupo de ataque Anonymous declaró el día de hoy que supuestamente 'destruirá' Facebook el 5 de Noviembre, acusando al sitio de espiar a sus usuarios, cooperar con autoridades gubernamentales y abusar de la privacidad de sus usuarios. Sin embargo, ya que la notificación de Anonymous no se originó desde fuentes conocidas con las que Anonymous publica sus comunicados, algunos cuestionan la autenticidad de la amenza. 

Cenzic ofrece a desarrolladores de redes sociales una "verificación" de seguridad y escaneo de vulnerabilidades gratuitos, utilizando su solución en internet, ClickToSecure Cloud.