La amenaza de la usurpación de cuentas de Facebook siempre acecha, ya sea por ataques que roban las credenciales de inicio de sesión de los usuarios o por hackeos que, por ejemplo, comprometen las cuentas de correo electrónico de los usuarios y aprovechan el acceso para lanzar recuperaciones de cuentas fraudulentas. Sin embargo, al mismo tiempo, los usuarios de Facebook necesitan poder recuperar el acceso a sus cuentas si olvidan su contraseña o se quedan bloqueados. La recuperación de cuentas crea una tensión clásica en cualquier servicio digital, pero cuando se tienen cerca de 3.000 millones de usuarios, los riesgos son máximos. Ahora, Meta, la empresa matriz de Facebook, comparte nuevos datos sobre el equilibrio que ha mantenido durante el último año en sus intentos por mejorar el proceso de recuperación de cuentas y detectar más actividades potencialmente maliciosas en sus plataformas sin causar trastornos a los usuarios ni poner en peligro la seguridad de sus cuentas.
Meta ha centrado sus esfuerzos en examinar y ampliar las opciones de los usuarios para establecer «puntos de contacto», o servicios de terceros, como direcciones de correo electrónico y números de teléfono en los que Facebook puede comunicarse con un usuario para recuperar su cuenta. Meta ha declarado que una cuarta parte de los ataques a cuentas de Facebook comienzan con el uso indebido de un punto de contacto. Al mismo tiempo, sin embargo, Meta afirma que la gente tiene el doble de probabilidades de recuperar con éxito su cuenta cuando sus puntos de contacto están actualizados, lo que pone de relieve la delgada línea entre mantener a la gente fuera de sus propias cuentas y bloquear a los malos actores.
«Hay un ciclo de retroalimentación fundamental, y el trabajo de compromiso de la cuenta es un área donde es especialmente relevante porque es un espacio muy conflictivo», dice Nathaniel Gleicher, jefe de política de seguridad de Meta. «Siempre que mi equipo se involucra en algo, significa que hay un adversario al otro lado. Pero tenemos que ser muy cuidadosos sobre cómo detener a los malos actores sin detener también a los buenos.»
Meta no proporcionó estadísticas concretas sobre cuántas cuentas se ven comprometidas al mes o cuántas personas recuperan el acceso a sus cuentas después de un compromiso.
La empresa afirma que emplea una serie de evaluaciones y «desafíos de verificación» en un intento de separar la actividad de los usuarios reales de Facebook que intentan recuperar el acceso a sus cuentas de los intentos de acceso malintencionados. Dependiendo de la situación, Facebook puede enviar un código a un dispositivo con el que se haya iniciado sesión en la cuenta o solicitar que un usuario proporcione una identificación para autenticarlo. Instagram también está explorando una función de recuperación en la que se puede pedir a un grupo seleccionado al azar de las cuentas con las que más interactúa un usuario que testifique su identidad y la validez de sus intentos de inicio de sesión.
La mayoría de las funciones de recuperación de cuentas de Facebook están automatizadas para hacer frente a la enorme base de usuarios de la red social. Pero en 2021, la empresa dijo que empezaría a ampliar sus ofertas para que los usuarios puedan chatear en directo con una persona sobre problemas de recuperación de cuentas. En octubre, los sistemas de Facebook ofrecieron a 1,3 millones de usuarios de nueve países la opción de trabajar con agentes en directo como parte del flujo de recuperación de cuentas, según Meta. La empresa tiene previsto ampliar el chat en directo a 30 países. El despliegue ha sido muy gradual, dice Gleicher, para que Meta pueda afinar el sistema y reducir la posibilidad de que los atacantes puedan aprovecharlo para realizar ingeniería social, o engañar, a los agentes para que concedan acceso indebido a las cuentas.
Meta dice que aplica los conceptos de «diseño adversario» para construir sistemas partiendo del supuesto de que los atacantes intentarán aprovecharse de ellos, en lugar de ignorar la realidad de estos riesgos y ser tomados desprevenidos.
“Estás viviendo en un espacio de confrontación y esperas que los malos sigan explotando, y una forma de abordarlo es que cuando creamos un sistema, lo desplegamos lentamente y observamos atentamente cómo se explota, y luego creamos rápidamente sistemas para protegerlo”, dice Gleicher. “Pero todo eso es reactivo, y debes tener cuidado de no ser puramente reactivo. La ‘ideación de amenazas’ es un sistema que hemos creado y que se basa en una combinación de previsión estratégica, ejercicios de simulación, equipo rojo, equipo azul y equipo púrpura para tomar un nuevo producto que estamos considerando, un evento que se avecina, una política, y poner a las personas, tanto dentro como fuera de la empresa en el lugar de los malos y de los buenos para ver qué van a hacer”.
Utilizando parte de la misma metodología de análisis de señales, Meta planea desplegar advertencias más matizadas a los usuarios de Facebook Messenger e Instagram para redirigir automáticamente los enlaces sospechosos a spam cuando puedan conducir a ataques de phishing dirigidos o malware y ampliar las alertas cuando un usuario se comunica con una nueva cuenta que puede ser un impostor que se hace pasar por alguien que el usuario objetivo conoce y en quien confía.
Es difícil reunir todos estos componentes sin bloquear accidentalmente el contenido legítimo o bloquear a las personas, pero Meta dice que sigue motivado para encontrar el equilibrio. Y oye, al final del día, ayudar a más usuarios a volver a sus cuentas es bueno para la retención de usuarios y, por lo tanto, bueno para el negocio.
“Cuando agentes malintencionados atacan el correo electrónico, esas son cosas que están fuera de nuestro control directo y no es necesariamente un ataque dirigido a los activos de Meta”, dice Gleicher. “Pero tenemos muchos usuarios, lo que significa que tenemos una responsabilidad muy importante y de gran alcance”.
Como siempre, las mejores protecciones para todas sus cuentas online son contraseñas únicas y fuertes, usando un administrador de contraseñas para llevar un registro de todas ellas y activar la autenticación de dos factores en todas las cuentas que la ofrezcan.