Un fallo expone las contraseñas de unos 500 millones de usuarios de Facebook e Instagram
El jueves, una fuente anónima, que afirma ser un empleado de Facebook, reveló que las contraseñas de cientos de millones de personas han estado disponibles en los servidores de la empresa durante meses en un formato de texto no cifrado en el que se pueden realizar búsquedas. Más de la mitad de los 36.000 empleados de Facebook en todo el mundo ha podido acceder a los datos y posiblemente abusar de ellos.
Una hora después de que el denunciante informara del accidente a los medios de comunicación, Facebook publicó una declaración oficial confirmando que el fallo es real y que las contraseñas de cientos de millones de personas de todo el mundo han sido almacenadas en un formato legible dentro de las bases de datos de Facebook, al que podrían haber accedido casi todos los empleados.
Un vez publicada la primera noticia sobre Krebs on Security, un medio de comunicación dirigido por el periodista estadounidense e investigador de ciberseguridad Brian Krebs, la investigación indicó que el fallo afecta aproximadamente a una cuarta parte de la base de datos activa mensual (aproximadamente 2.000 millones de personas). La mayoría de las contraseñas de fácil acceso son de usuarios que utilizan Facebook Lite, la versión más ligera de la app de Facebook para dispositivos Android de bajo consumo o con conexión limitada a Internet.
Todavía se desconoce cuántas contraseñas han sido expuestas y durante cuánto tiempo. Según el informante, los registros de datos muestran que aproximadamente dos mil profesionales de IT de Facebook han creado casi 10 millones de requisitos internos para elementos de datos que contienen contraseñas de usuario de texto plano utilizadas por los usuarios de Facebook en los últimos 7-8 años. En su declaración oficial, Facebook confirmó que notificará sobre la posible filtración a los cientos de millones de usuarios de Facebook e Instagram.
Aunque Facebook ha dicho que ha solucionado el problema y que sólo avisará a los usuarios afectados, recomendamos encarecidamente cambiar sus contraseñas en las dos redes sociales. Ambas confirmaron que no están planeando obligar a todos los clientes a restablecer sus contraseñas porque actualmente no tienen pruebas de que los millones de contraseñas desprotegidas se hayan utilizado de forma indebida.
Recordamos evitar utilizar la misma contraseña para todos los servicios y utilizar siempre claves que sean difíciles de adivinar. Es buena práctica cambiar las contraseñas cada tres meses disminuyendo así las posibilidades de ser víctima de esta clase de vulnerabilidades. Puedes usar password manager si te cuesta recordar tantas contraseñas. La mayoría de las soluciones de software antivirus disponibles actualmente en el mercado ofrecen esta opción.