Revelar tu contraseña de Facebook pone en riesgo tu Seguridad

Publicado el 04 junio 2012 por Luiscastellanos @lrcastellanos

En los últimos años las redes sociales han cambiado totalmente la forma de ver e interactuar con el mundo… incluso la forma de entrevistar y contratar a una persona por parte de una empresa. En el año 2009, la ciudad de Bozeman, Montana se encontraba ante el peor escándalo público que surgió cuando en los medios se dio a conocer la noticia de que los miembros del gabinete tenían la astucia de solicitar como requisito brindar acceso a las redes sociales de toda aquella persona que aplicaba a ocupar cualquier cargo en la administración.

 Esos eran los buenos tiempos.

 La cuestión una vez más llegó a la atención pública debido a que en las últimas semanas surgieron diversos reportajes en las noticias que comenzaron a indicar que cada vez más empleadores siguen ese ejemplo, y que el demandar las contraseñas de las redes sociales de los usuarios se está convirtiendo cada vez más en una práctica de contratación aceptada.

 En una historia, la Asociated Press ilustra esta creciente tendencia de gerentes que solicitan información de acceso a Facebook para evaluar a los empleados potenciales como parte de la entrevista. El artículo señala el caso particular de Justin Bassett, a quien en su entrevista de trabajo se le solicitó la información de acceso a su Facebook. A raíz de esta petición, Bassett abandonó la entrevista y sostuvo que él no quería trabajar para una empresa que cometiera tal atropello y esa clara violación a su privacidad. Pero no todos pueden darse ese lujo.

Del mismo modo, otra historia publicada en la revista PC Magazine ilustra una tendencia que se ha dado a conocer como la “navegación por encima del hombro”, la cual consiste en pedir a un empleado potencial iniciar su sesión de Facebook, mientras es observado por encima de su hombro al navegar y dar click en fotos, videos y actualizaciones de su estado en búsqueda de cualquier material comprometedor o potencialmente escandaloso.

 Facebook atendió a esta tendencia en un blog que subraya que, además de una serie de violaciones a la privacidad, los empleadores están en riesgo de una mayor responsabilidad legal por conocer la información personal del candidato (como lo es la edad de un usuario, su herencia, afinidades políticas, religiosas o alguna discapacidad), que podría involucrarlos en algún momento en una demanda por discriminación si el candidato no obtuviera el trabajo. En este sentido, Facebook mantiene en un blog que la solicitud de una contraseña de Facebook a empleados o candidatos a un empleo resulta en una violación flagrante de los términos establecidos por la red social y sus condiciones.

 Pero además de las numerosas ramificaciones legales (que son muchas), los empleados también se están sometiendo a un sin fin de problemas de seguridad mediante la entrega de las llaves de acceso a su reino de Facebook.

 En primer lugar, las reglas de seguridad dictan que si algún usuario no autorizado ha accedido a su contraseña de la cuenta, usted está obligado a cambiar de inmediato todas sus credenciales de inicio de sesión. Así que entonces, ¿por qué no hacer ese cambio cuando ha compartido los nombres de usuario de Facebook y acceso a un gerente de recursos humanos que no conoce y al que probablemente no le tiene plena confianza?

 Lo qué ha resultado de las discusiones populares es el hecho de que no no se deben revelar las contraseñas sensibles a nadie. Nunca. Eso incluye a su mamá, sus hijos, y desde luego, principalmente a personas desconocidas.

 Cuando los usuarios pierden sus contraseñas, desconocen de qué forma serán utilizadas, o quién va a acceder a su cuenta posteriormente. Quién puede decir si la persona de recursos humanos de la organización o el personal directivo se pondrán a husmear en su perfil de Facebook sólo por el gusto de hacerlo, incluso después de haber aceptado o declinado el trabajo. O es posible que alguien pueda publicar algo humillante o inadecuado en su muro. Después de todo, ellos cuentan con las contraseñas de inicio de sesión.

“Incluso si uno no acepta el trabajo, les ha dado la contraseña. Pueden incluso realmente cambiar su contraseña sin su conocimiento, o eliminar su cuenta “, comentó Axelle Aprville, analista e investigador senior de antivirus de Fortinet.

 Además, muchos usuarios tienen las mismas contraseñas para múltiples cuentas sensibles como su cuenta bancaria y Pay Pal, dijo Rob Ayoub, evangelista de seguridad de Fortinet.

 “Una vez que un usuario proporciona su contraseña a recursos humanos, la persona de recursos humanos podría tener acceso a muchos más datos sensibles. Claro, la respuesta es fácil  – uno debe cambiar la contraseña. Pero, ¿realmente los usuarios saben esto o piensan en ello?”, dijo Ayoub. “Esto también trae a colación el pensamiento de que tal vez deberíamos estar utilizando autenticación fuerte para acceder a sistemas tan íntimos y personales como Facebook.”

 “En el mejor de los casos donde la gente no reusa su contraseña, con frecuencia utilizan cierto tipo de lógica que ofrece pistas valiosas para iniciar sesión en otros sitios web”, agregó Apvrille de Fortinet. “Por ejemplo. Imaginen si mi contraseña de Facebook es “Facebook4ax, adivina cuál es mi contraseña para LinkedIn? No es tan difícil ‘Linkedin4ax. Para Gmail? ‘Gmail4ax. Para Twitter? ‘Twitter4ax,’ etc… usted sigue la lógica”.

 Mientras tanto, casi todas las cuentas de Facebook contienen una gran cantidad de información de identificación personal – edad, fecha de nacimiento, dirección, números de teléfono y los lugares que frecuenta –  que puede potencialmente ser utilizado en el robo de identidad. Al entregar la contraseña es como si entregara las llaves de su casa a su jefe y decir “No dude en consultar libremente mis estados de cuenta de la tarjeta de crédito y asegúrese de abrir todos mis diarios.”

 Y aunque la mayoría de los gerentes y el personal de recursos humanos son personas honestas (que por supuesto, lo son), no hay forma de determinar si la seguridad de la computadora que alberga la base de datos de credenciales de Facebook es robusta. Si el equipo o cualquier otra aplicación en la máquina contiene una vulnerabilidad de seguridad, cualquier información almacenada se encuentra en riesgo de caer en manos de hackers si el equipo llega a ser infectado con un botnet, o algún troyano que robe información o un keylogger.

 Con el fácil acceso a un botín de registros de login de Facebook, un botnet podría poner en riesgo el perfil de un usuario mediante un enlace infectado, y con ello pondría en riesgo a todos los contactos de la víctima. O los hackers simplemente por hacer la maldad podrían publicar las claves a través de Internet, junto con una nota sarcástica, como una especie de declaración política. Que no nos extrañe, las cosas más extrañas ya están sucedido.

La buena noticia es que la práctica de solicitar contraseñas de Facebook ha sido recibida con una fuerte reacción en contra que está creciendo cada vez más, a pesar de que recientemente algunos representantes gubernamentales se negaron a promover una ley que impida a las organizaciones a demandar sus logins a prospectos y futuros empleados.

 El hecho de que las encuestas muestran que una gran mayoría de usuarios se oponen fuertemente a estas prácticas de contratación, es prueba de que la cuestión de la privacidad del usuario no será derrotada sin pelear. Pero por ahora, eso es todo lo que podemos esperar.

Vía Fortinet