Meta nunca ha ocupado un lugar destacado en las listas de privacidad o seguridad, siendo conocido por compartir datos de usuarios con actores sombríos. extraer información confidencial de los hospitales y sitios web financieros, y permitir que se filtren los datos personales de millones de usuarios. Parecería que Meta ya debería haber agotado todas las opciones posibles para violar la confianza de los usuarios, pero el gigante tecnológico está acostumbrado a desafiar las expectativas.
Todavía rompiendo cosas
Dos docenas de trabajadores y contratistas de Meta han sido disciplinados o despedidos por abusar de una herramienta interna secreta para apoderarse de las cuentas de los usuarios, a veces por miles de dólares en sobornos. informó el Wall Street Journal. La herramienta, apropiadamente llamada “Oops” (abreviatura de Operaciones en línea), fue diseñado para servir como atajo para que los trabajadores de Meta restablezcan las cuentas de colegas, familiares, amigos y figuras públicas.
Facebook, incluso antes de que el CEO Mark Zuckberg lo rebautizara como Meta, intentaba distanciarse del viejo lema “Muévete rápido y rompe cosas.” Pero aunque la frase ahora ha sido castrado a sólo “Muévete rápido”, “romper cosas” el eslogan parece seguir siendo cierto. En un caso especialmente atroz mencionado en el informe, supuestamente se descubrió que un contratista de seguridad había reiniciado “múltiples cuentas de usuario en nombre de piratas informáticos, recibiendo miles de dólares en bitcoins” por el servicio
Foto: CHUTTERSNAP/Unsplash
La actitud muy arrogante, si no imprudente, de Meta al otorgar acceso a la herramienta, es parcialmente culpable del “ups”․ Otro guardia de seguridad, a quien Meta acusó de monetizar el atajo, dijo que el acceso a la herramienta venía incluido con el acceso a la intranet de Facebook, una red local donde los empleados podían compartir información de la empresa de manera segura. El guardia afirmó que la herramienta en sí y cómo usarla (o más bien, cómo no usarla) no se cubrió en el entrenamiento. “No tenían ningún conjunto de reglas ni te daban una clase sobre qué esperar”, él dijo. El contratista consideró su acceso privilegiado a Operaciones en línea una buena bonificación, y no dudó en aprovecharla. Enfrentado a Meta, afirmó que pensó que estaba haciendo algo bueno: ayudar a los propietarios legítimos a recuperar sus cuentas.
Un caso de prioridades fuera de lugar
No está claro en el informe cuántos empleados y contratistas de Meta fueron despedidos y cuántos fueron “disciplinados” o recibieron un tirón de orejas, y Meta no quiere derramar más frijoles. Lo preocupante es que la popularidad de la herramienta de restablecimiento de cuenta se ha disparado en los últimos años. En 2017, el canal secreto se utilizó para procesar 22.000 tareas, mientras que en 2020 su número se disparó a 50.270.
Para ser justos, el el número de empleados a tiempo completo de Meta se duplicó con creces entre 2017 y 2020, de 25 000 a 58 000. Sin embargo, a medida que más personas tengan acceso al instrumento que les permite secuestrar de facto la cuenta de cualquier usuario, mayor será la probabilidad de que se maneje mal, ya sea por buena voluntad o malicia.
El problema no es solo la disponibilidad de la herramienta para una gran cantidad de empleados de Meta, sino también su propia existencia. A primera vista, problemas como restablecer una cuenta y devolverla a su propietario legítimo deben ser manejados por el servicio de soporte de una empresa. Pero en el caso de Meta, el servicio de soporte es casi inexistente. Ya sea por diseño o por un descuido incomprensible para una empresa de este calibre, hasta hace poco Meta hizo la vista gorda con la atención al cliente, al no tener una línea directa para manejar las solicitudes de recuperación de manera oportuna.
Según se informa, podría llevar a Meta cualquier cosa de 48 horas a 45 días para procesar una solicitud. Por supuesto que puede siga las pautas de Facebook para intentar recuperar su cuenta por su cuenta, pero si un pirata informático cambió su contraseña y correo electrónico y desvinculó su número de teléfono de su perfil, no tendrá suerte. Aquellos que han perdido el acceso a sus cuentas y necesitan recuperarlas lo antes posible (por razones comerciales o de otro tipo) se ven obligados a recurrir a los llamados “especialistas en restauración de cuentas”, quienes a veces afirman tener conexiones en Meta.
Foto: Towfiqu barbhuiya/Unsplash
Tal sistema es un caldo de cultivo para la corrupción, porque la probabilidad de éxito no depende del mérito de su reclamo, sino de si conoce a las personas adecuadas y qué tan cerca está de ellas. Literalmente.
Una modelo de Onlyfans afirmó a principios de este año que tuvo relaciones sexuales con varios empleados de Meta para que no prohibieran su cuenta de Instagram. “Todo lo que tienes que hacer es tener a alguien que realmente te quiera, y eventualmente recuperarás tu cuenta”. ella le dijo al podcast ‘No Jumper’ en mayo. A la luz del informe del Journal, la historia no parece descabellada.
Dado que Instagram se acerca a los 2 mil millones de usuarios activos mensuales, y que Facebook tiene casi 3 mil millones de personas iniciando sesión cada mes, dar servicio a todos ellos no es pan comido. Sin embargo, el hecho de que Meta sea inyectando miles de millones en su proyecto de metaverso con poco o ningún retorno sugiere que la empresa tiene los recursos de sobra, solo que el usuario y su seguridad aparentemente no son su máxima prioridad.
Hace un año, Meta comenzó a probar el soporte de chat en vivo en su aplicación de Facebook para un número limitado de usuarios de habla inglesa. Fue “la primera vez que Facebook ha ofrecido ayuda en vivo para personas bloqueadas de sus cuentas”, el gigante tecnológico luego declaró con orgullo. Este mes, Meta dijo que el soporte en vivo está disponible para más de 1 millón de personas y que ha sido vidente “resultados positivos.” La compañía confirmó que implementará la función en 30 países más (además de los nueve originales, incluido EE. UU.), pero no ha especificado cuántos usuarios la obtendrán finalmente.
En agosto, Bloomberg informó que Meta también comenzó a construir una “división de servicio al cliente” que atender las quejas de los usuarios cuyas publicaciones y cuentas fueron eliminadas. Hace mucho tiempo, uno pensaría.
Lo que nos enseña el nuevo escándalo
El “Oopsgate” asesta otro golpe a la reputación de Meta, planteando la cuestión de cuánto control y acceso tienen los trabajadores de Meta sobre los datos de los usuarios. También muestra que el desprecio por la seguridad y la privacidad del usuario está presente en las operaciones de la empresa. Esto quizás no sea sorprendente, ya que el enfoque principal y la fuente de ingresos de Meta es recopilar datos de usuarios para publicidad dirigida, y no privacidad o seguridad.
En la práctica, esto significa que debemos tener mucho cuidado al confiar nuestros datos a Meta y otras empresas tecnológicas que manejan grandes cantidades de datos de usuarios y comparten su modelo de negocio. Habilitar la autenticación de dos factores, mantener su información de contacto actualizada, no hacer clic en un código de inicio de sesión que no solicitó son algunas de las reglas que ayudarán a proteger sus datos de los piratas informáticos, pero en una escala más amplia, no lo son. infalible.
Cuando se trata de seguridad cibernética, no debemos dejarnos engañar pensando que los gigantes tecnológicos son virtualmente invulnerables a cualquier incidente interno o ataque externo, porque supuestamente emplean a los mejores talentos y usan las mejores prácticas. No hace mucho, escribimos sobre el infame grupo de piratas informáticos Lapsus$, que recolectó el cuero cabelludo de varios gigantes tecnológicos, incluidos NVIDIA y Samsung, siendo literalmente un grupo de adolescentes con computadoras portátiles. Además, las manzanas podridas que abusarían de las herramientas internas se pueden encontrar en casi todas partes.
A decir verdad, ni Instagram ni Facebook son probablemente los mejores lugares para tener conversaciones privadas y compartir fotos íntimas, incluso sin el riesgo adicional de ser secuestrado por un empleado de Meta sin escrúpulos. Ni Facebook ni Instagram están cifrados de extremo a extremo de forma predeterminada todavíay Meta ha demostrado repetidamente que es dispuesto a violar la privacidad del usuario a petición de las fuerzas del orden. Si no quiere correr riesgos con Meta, puede probar un mensajero cifrado de extremo a extremo que se centre en la privacidad y la seguridad, como Signal. Sin embargo, vale la pena tener en cuenta que el cifrado de extremo a extremo no es una panacea. Por ejemplo, WhatsApp tiene cifrado de extremo a extremo, pero también es conocido por recopilar grandes cantidades de metadatos no cifrados, que puede compartir con la policía y el padre de WhatsApp, Meta.
Entonces, en resumen: tenga cuidado con quién confía, investigue, evalúe los riesgos, use las medidas y herramientas de seguridad disponibles y nunca baje la guardia.
