Por Ariel Torres
Hace casi tres meses publiqué aquí una columna sobre la seguridad en
Facebook, Hotmail, Twitter y otros sitios que, al final, protagonizó un
debate idiomático ( www.lanacion.com.ar/1353096
). Pero el asunto de fondo era y sigue siendo el hecho de que usamos
conexiones Wi-Fi públicas abiertas para iniciar y luego mantener largas
sesiones en sitios que requieren nombre de usuario y contraseña. Eso
hace que un pirata pueda atrapar las cookies de sesión que le permiten a
estos sitios reconocernos y luego usarlas para hacerse pasar por
nosotros. Peor todavía, explicaba en aquella columna, ahora hay un
programa, el Firesheep , que le permite a una persona sin ningún conocimiento técnico realizar esta operación con un par de clics.
Pero desde entonces han ocurrido varias cosas interesantes. Increíble como suena, parece que el autor de Firesheep
tenía razón: había que quebrar lanzas para que los sitios se pusieran
las pilas con el tema de la seguridad de sus usuarios. Tanto Facebook
como Twitter, las dos redes sociales más populares del momento,
implementaron en estos tres meses la conexión segura durante toda la
sesión. Es decir, el uso de https en lugar de http no sólo durante el inicio de la sesión (cuando escribimos nombre de usuario y contraseña), sino todo el tiempo.
Bueno, las mejoras en seguridad continúan. Al menos en
Facebook, que ahora incorporó la validación de equipos para conectarse a
la red social. De este modo, si alguien consigue robarte la contraseña,
no podrá iniciar sesión en tu nombre a menos que además use tu propia
computadora, lo que es bastante raro.
Si lo hace desde un equipo no validado, entonces
Facebook no lo deja pasar y además te enviará un mail para avisarte de
la situación.
Esta nueva medida de seguridad intenta paliar otro de los grandes
problemas que existen en estos y otros servicios de Internet: las
contraseñas débiles o que se comparten indiscriminadamente.
Nunca es tarde
Pese
a su inmensa popularidad, Facebook viene de varios golpes serios,
algunos simplemente patéticos, como el haber contratado a la empresa de
relaciones públicas y prensa Burson Marsteller para llevar adelante una
campaña de descrédito contra Google, además de una seguidilla de ataques
de spam , como el ahora tristemente célebre botón No me gusta .
Así que la más reciente de las novedades de seguridad
en Facebook, que explicaré a continuación, ha sido anunciada con ese
melifluo discurso de "siempre hemos estado comprometidos con la
protección de la cuenta y la información de nuestros usuarios" ( www.facebook.com/note.php?note_id=10150172618258920 ). La verdad, no obstante, es que hace rato que estas medidas deberían haber estado, al menos, como opcionales.
Críticas aparte, nunca es tarde para estas cosas y la
validación de equipos me parece un paso adelante. No es ideal, pero es
mejor que lo que teníamos hasta ahora, sobre todo para la legión de
personas que sigue usando como contraseña 123456 o su fecha de cumpleaños.
Qué es la validación de equipos
¿Cómo
funciona? Cuando se activa esta función (enseguida, el paso por paso)
Facebook nos envía un código alfanumérico (la primera vez) a nuestro
celular. Sí, hay que darles el celular, primer problema, pero no es
grave, si se toman en consideración un par de cosas que diré después.
Cuando recibimos el código lo escribimos en el formulario que aparece en
pantalla y a partir de entonces esa computadora queda autorizada para
entrar en tu cuenta.
Bueno, no exactamente tu computadora.
Lo que hace Facebook es escribir una cookie para el navegador que estamos usando, así que si borramos las cookies
o si cambiamos de navegador, volverá a enviarnos un SMS (a partir de
ahora, sólo códigos numéricos). Así que lo que la red social registra es
el browser ( Firefox , Internet Explorer , Chrome , Opera , y así) y no la PC. Esto no es grave para la inmensa mayoría de los usuarios, que rara vez borran cookies o cambian de computadora o de navegador.
Paso por paso
El procedimiento, en detalle, es así:
* Entrar en Facebook con el navegador que uses normalmente
* Ir a Cuenta> Configuración de la cuenta y en Seguridad de la cuenta apretar Cambiar
* Ahora, en el apartado Aprobación de inicio de sesión poner un tilde en Pedirme que ingrese el código de seguridad que se envíe a mi celular
La primera vez que hagamos esto se abrirá un asistente
de tres pasos bastante simple. El primero es una explicación del
mecanismo de seguridad.
En el segundo, si nunca pusiste tu celular en Facebook,
hay que ingresar el número. Salvo que estés en otro país, reconocerá la
región y agregará +54 de forma automática. Un teléfono de la ciudad de
Buenos Aires debe ingresarse con 11, no con 911 como cuando se llama del
exterior, porque es para el envío de mensajes de texto; no te van a
llamar de Facebook.
El SMS, salvo que tu compañía esté filtrando Facebook por spam , te llegará en unos 10 a 20 segundos. Para concluir la autorización sólo hay que copiar ese código en el tercer y último paso.
Eso es todo. Nada complicado, aunque si cambiás mucho de equipos puede ponerse un poco pesado esperar el SMS cada vez.
Bueno, en ese caso, podés desactivar esta nueva función, pero conviene activar la casilla que dice Usar Facebook mediante una conexión segura (https) cuando sea posible y emplear siempre una contraseña realmente robusta ( www.lanacion.com.ar/909837-contrasenas-fuertes-pero-faciles-de-recordar ).
En el caso de que decidas activar esta medida de
seguridad, no es mala idea poner un tilde en las casillas que ofrecen
enviarnos un SMS o un e-mail cuando alguna computadora no autorizada
intente ingresar en nuestra cuenta de Facebook. Si recibimos dicha
advertencia, el mejor consejo es ir a la configuración de la cuenta de
Facebook y cambiar la clave.
Datos privados
Como
para este trámite necesitamos colocar un número de celular, hay que
mirar en la configuración de la privacidad que a Facebook no se le haya
ocurrido hacerlo público. Digo, no queremos que empiecen con los
secuestros virtuales, por ejemplo.
Para eso (paciencia que es largo), hay que ir a Cuenta> Configuración de la privacidad> Personalizar la configuración y bajar hasta Información de contacto
. Esta es una decisión muy personal y habrá quienes no tengan problema
en publicar, por ejemplo, su celular, pero mi mejor consejo es que nadie
pueda ver en Facebook ni la dirección postal ni tu teléfono (o sea, hay
que elegir Sólo yo ).
Otra cosa. Las aplicaciones de Facebook para
smartphones y tablets también están dentro de las que deben ser
autorizadas mediante un código. En estos casos, sin embargo, no se nos
pide ingresar el código además del nombre de usuario y la contraseña,
sino que hay que colocar el código que se nos envía por SMS en lugar de
la contraseña. Para eso, claro, hay que cerrar la aplicación y reiniciar
sesión. La primera vez que queramos ingresar de la forma normal dará
error y unos segundos después llegará el mensaje de texto diciendo: "Usa
el código XXXXXX en lugar de tu contraseña para entrar en una
aplicación de Facebook"