Nuevas medidas de seguridad en Facebook

Por Ariel Torres

Hace casi tres meses publiqué aquí una columna sobre la seguridad en Facebook, Hotmail, Twitter y otros sitios que, al final, protagonizó un debate idiomático ( www.lanacion.com.ar/1353096 ). Pero el asunto de fondo era y sigue siendo el hecho de que usamos conexiones Wi-Fi públicas abiertas para iniciar y luego mantener largas sesiones en sitios que requieren nombre de usuario y contraseña. Eso hace que un pirata pueda atrapar las cookies de sesión que le permiten a estos sitios reconocernos y luego usarlas para hacerse pasar por nosotros. Peor todavía, explicaba en aquella columna, ahora hay un programa, el Firesheep , que le permite a una persona sin ningún conocimiento técnico realizar esta operación con un par de clics.

Pero desde entonces han ocurrido varias cosas interesantes. Increíble como suena, parece que el autor de Firesheep tenía razón: había que quebrar lanzas para que los sitios se pusieran las pilas con el tema de la seguridad de sus usuarios. Tanto Facebook como Twitter, las dos redes sociales más populares del momento, implementaron en estos tres meses la conexión segura durante toda la sesión. Es decir, el uso de https en lugar de http no sólo durante el inicio de la sesión (cuando escribimos nombre de usuario y contraseña), sino todo el tiempo.

Bueno, las mejoras en seguridad continúan. Al menos en Facebook, que ahora incorporó la validación de equipos para conectarse a la red social. De este modo, si alguien consigue robarte la contraseña, no podrá iniciar sesión en tu nombre a menos que además use tu propia computadora, lo que es bastante raro.

Si lo hace desde un equipo no validado, entonces Facebook no lo deja pasar y además te enviará un mail para avisarte de la situación.

Esta nueva medida de seguridad intenta paliar otro de los grandes problemas que existen en estos y otros servicios de Internet: las contraseñas débiles o que se comparten indiscriminadamente.

Pese a su inmensa popularidad, Facebook viene de varios golpes serios, algunos simplemente patéticos, como el haber contratado a la empresa de relaciones públicas y prensa Burson Marsteller para llevar adelante una campaña de descrédito contra Google, además de una seguidilla de ataques de spam , como el ahora tristemente célebre botón No me gusta .

Así que la más reciente de las novedades de seguridad en Facebook, que explicaré a continuación, ha sido anunciada con ese melifluo discurso de "siempre hemos estado comprometidos con la protección de la cuenta y la información de nuestros usuarios" ( www.facebook.com/note.php?note_id=10150172618258920 ). La verdad, no obstante, es que hace rato que estas medidas deberían haber estado, al menos, como opcionales.

Críticas aparte, nunca es tarde para estas cosas y la validación de equipos me parece un paso adelante. No es ideal, pero es mejor que lo que teníamos hasta ahora, sobre todo para la legión de personas que sigue usando como contraseña 123456 o su fecha de cumpleaños.

¿Cómo funciona? Cuando se activa esta función (enseguida, el paso por paso) Facebook nos envía un código alfanumérico (la primera vez) a nuestro celular. Sí, hay que darles el celular, primer problema, pero no es grave, si se toman en consideración un par de cosas que diré después. Cuando recibimos el código lo escribimos en el formulario que aparece en pantalla y a partir de entonces esa computadora queda autorizada para entrar en tu cuenta.

Bueno, no exactamente tu computadora.

Lo que hace Facebook es escribir una cookie para el navegador que estamos usando, así que si borramos las cookies o si cambiamos de navegador, volverá a enviarnos un SMS (a partir de ahora, sólo códigos numéricos). Así que lo que la red social registra es el browser ( Firefox , Internet Explorer , Chrome , Opera , y así) y no la PC. Esto no es grave para la inmensa mayoría de los usuarios, que rara vez borran cookies o cambian de computadora o de navegador.

El procedimiento, en detalle, es así:

* Entrar en Facebook con el navegador que uses normalmente

* Ir a Cuenta> Configuración de la cuenta y en Seguridad de la cuenta apretar Cambiar

* Ahora, en el apartado Aprobación de inicio de sesión poner un tilde en Pedirme que ingrese el código de seguridad que se envíe a mi celular

La primera vez que hagamos esto se abrirá un asistente de tres pasos bastante simple. El primero es una explicación del mecanismo de seguridad.

En el segundo, si nunca pusiste tu celular en Facebook, hay que ingresar el número. Salvo que estés en otro país, reconocerá la región y agregará +54 de forma automática. Un teléfono de la ciudad de Buenos Aires debe ingresarse con 11, no con 911 como cuando se llama del exterior, porque es para el envío de mensajes de texto; no te van a llamar de Facebook.

El SMS, salvo que tu compañía esté filtrando Facebook por spam , te llegará en unos 10 a 20 segundos. Para concluir la autorización sólo hay que copiar ese código en el tercer y último paso.

Eso es todo. Nada complicado, aunque si cambiás mucho de equipos puede ponerse un poco pesado esperar el SMS cada vez.

Bueno, en ese caso, podés desactivar esta nueva función, pero conviene activar la casilla que dice Usar Facebook mediante una conexión segura (https) cuando sea posible y emplear siempre una contraseña realmente robusta ( www.lanacion.com.ar/909837-contrasenas-fuertes-pero-faciles-de-recordar ).

En el caso de que decidas activar esta medida de seguridad, no es mala idea poner un tilde en las casillas que ofrecen enviarnos un SMS o un e-mail cuando alguna computadora no autorizada intente ingresar en nuestra cuenta de Facebook. Si recibimos dicha advertencia, el mejor consejo es ir a la configuración de la cuenta de Facebook y cambiar la clave.

Como para este trámite necesitamos colocar un número de celular, hay que mirar en la configuración de la privacidad que a Facebook no se le haya ocurrido hacerlo público. Digo, no queremos que empiecen con los secuestros virtuales, por ejemplo.

Para eso (paciencia que es largo), hay que ir a Cuenta> Configuración de la privacidad> Personalizar la configuración y bajar hasta Información de contacto . Esta es una decisión muy personal y habrá quienes no tengan problema en publicar, por ejemplo, su celular, pero mi mejor consejo es que nadie pueda ver en Facebook ni la dirección postal ni tu teléfono (o sea, hay que elegir Sólo yo ).