• Tweet

El problema sobre cookies de seguimiento de Facebook revelado ayer, como era de esperarse, generó un revuelo en la comunidad de la seguridad.

La compañía entro en el modo control de daños y repitió las afirmaciones hechas por unos de sus ingenieros: "Facebook no hace un seguimiento de los usuarios a través de la web".

"En su lugar, utilizamos las cookies en plugins sociales para personalizar el contenido (por ejemplo, mostrar a tus amigos lo que les gusta), ayudar a mantener y mejorar lo que hacemos (por ejemplo, medir el porcentaje de clics) y para la seguridad (por ejemplo, mantener fuera a niños que intentan registrarse con una edad diferente). La información que recibimos cuando el usuario ve un plugin social no es usada para fines publicitarios, sino que la eliminamos o la hacemos anónima un periodo de 90 días, y por supuesto, nunca la vendemos".

"Específicamente, las cookies de fin de sesión se están utilizando para la seguridad y protección, incluyendo la identificación de los spammers y phishers, pues detectan cuando alguien no autorizado intenta acceder a su cuenta, ayudan a recuperar tu cuenta en caso de que sea hackeada, desactiva el registro para algún menor de edad que trate de volver a hacerlo con una fecha de nacimiento diferente, controlan las características de seguridad como las aprobaciones de los factores de inicio de sesión y notificación e identifica a los equipos compartidos para desalentar el uso de "Recordar mi nombre de usuario".

Por otro lado, el australiano Nik Cubrilovic - quien escribió en su blog sobre sus descubrimientos y llevo el asunto a la atención del público - afirma que fue contactado por la empresa y que ésta le prometió solucionar el problema. Dijo que la llamada de 40 minutos con los ingenieros de Facebook, dio lugar a la promesa de que las cookies de termino de sesión no continuarían recolectando información personal identificable de los usuarios después de haber cerrado la sesión en la red social, y que el cambio se pondrá en marcha mañana (es decir hoy). Para ilustrar su afirmación original, Cubrilovic publicó una tabla que muestra en detalle las cookies que son eliminadas o modificadas después de la sesión, las cuales se mantienen incluso después de que el navegador se reinicia.

Admite que si bien Facebook puede no estar utilizando la información obtenida, sí "podría querer introducir una nueva función para acceder y utilizarla" en los unos cuantos años más.

Actualización: ¡Esto fue rápido! De acuerdo con Cubrilovic, la cuestión ya ha sido solucionada -la cookie infractora "a_user" (que contiene el identificador del usuario) se destruye al salir. Facebook afirma que su persistencia después de cerrar la sesión se debió a un error, que ya ha sido corregido.

En cuanto al resto de las cookies persistentes, menciona que Facebook ha cambiado el tema de cierre de sesión.

"Ellos quieren mantener la posibilidad de rastrear los navegadores después de cerrar la sesión por razones de seguridad y spam, y además, desean ser capaces de registrar las peticiones de las páginas debido al rendimiento, entre otras cosas. Aun así, recomendaría que las cookies de los usuarios utilizadas en un navegador se eliminaran. Creo en lo que Facebook dice cuando describe lo que estas cookies hacen por nosotros, sin embargo, no es una razón para ser complacientes en cuestiones de privacidad para tomar la iniciativa para que todo lo demás sea seguro".