Seguridad y privacidad en el ecosistema Facebook

Pablo F. Iglesias

Experto en Ciberseguridad

ACTUALIZADOS: 4 marzo 2021

Buenas, mi nombre es Pablo F. Iglesias, autor de la página www.pabloyglesias.com y CEO de la consultora CyberBrainers, desde la que ayudamos a personas y empresas a mejorar su presencia digital y reputación online.


En este segundo artículo para DetectivesPrive.com quería hablar sobre la seguridad y privacidad de nuestra cuenta de Facebook. Un tema que trato en profundidad en el Curso de Seguridad y Privacidad en Internet.

En el primero hablamos precisamente sobre la seguridad y privacidad en dispositivos Android. En el segundo, de los dispositivos iOS/iPadOS. En el tercero del ecosistema Google.
Hoy vamos a dedicar el día a la seguridad, privacidad y uso que deberíamos tener con nuestra cuenta de Facebook. Y hablamos de Facebook y no de otras RRSS precisamente por ser esta la más ampliamente utilizada por el grueso de la sociedad.

¡Comencemos!

¿Utilizamos Facebook de forma segura?

La respuesta ya la conoces: No.

Y no porque Facebook está diseñado precisamente para que el usuario no sea consciente de ello.

La red del «caralibro» fue creada en su día como un servicio para mantener conectadas a personas que ya se conocían en círculos muy específicos (en este caso, los alumnos de una universidad). Pero desde entonces ha ido evolucionando hacia derroteros verdaderamente antagónicos. La misión defendida por Zuckerberg tras la subida al poder de Donald Trump fue toda una declaración de intenciones (EN):

«Desarrollar la infraestructura social para dar a la gente el poder de construir una comunidad global que funcione para todos».

Es decir, ofrecer una plataforma de cohesión (pública), no de separación (privada), que permita a la sociedad informarse, compartir y actuar.

Aspectos alejados a ese mantra de «espacio de círculos cerrados y elitistas» que una vez dio sentido a Facebook. La red social de nuestros días, con más de 2.000 millones de usuarios, es una plataforma de descubrimiento de información con una compleja red de permisos que conviene, al menos, conocer.

Seguridad y privacidad Facebook

¿Cómo funciona Facebook?

Todo esto es muy bonito, pero aquí empieza la parte que te interesa.

En Facebook, como bien sabes, puedes tener un perfil y múltiples páginas, cada una con su configuración propia:

  • Las páginas publican por defecto todo en público (accesible por cualquiera, incluso no usuarios de la red), aunque por supuesto siempre tendrás la opción de dirigir las actualizaciones o acotar el acceso a una u otra información desde la configuración. Es por tanto una gran herramienta si nuestro objetivo es trabajar de manera distinta nuestro perfil personal (al que podrán acceder nuestros conocidos) y el profesional (gestionado desde una página, como es mi caso (ES)), para que cualquiera pueda llegar a nosotros. En esta pieza nos centraremos en los perfiles, pero si tienes dudas sobre cómo configurar una página y/o necesitas soporte sobre qué estrategia debería adaptarse más a tus objetivos, me lo comentas y lo hablamos.
  • Desde hace ya unos años, todas las actualizaciones de estado de un perfil son, por defecto, privadas (solo visibles por nuestros amigos). Pero como explico en uno de los módulos del Curso esto no se ha aplicado con carácter retroactivo, lo que quiere decir que si nuestro perfil tiene ya unos cuantos años es muy probable que tengamos publicado de manera pública (accesible por cualquier usuario de Facebook) contenido antiguo.
acceder de una cuenta de Facebook

De hecho, hubo bastante revuelo en su día por la creación de herramientas como Stalkscan.com (ya no disponible), un servicio que ofrecía supuestamente toda la información a la que un tercero puede acceder de una cuenta de Facebook. Y para variar, algunos medios se dejaron llevar por el sensacionalismo.

Realmente Stalkscan lo único que hacía era enlazar a peticiones de la API de Facebook ordenadas bajo una interfaz más humana.

Así, podemos decidir el intervalo de tiempo a buscar, la tipología de la búsqueda (personas, páginas, amigos, familia, locales…), el género, la edad y el estado (casado/a, soltero/a…), y a partir de estas queries, ENLAZA a cerca de cuarenta elementos que conforman prácticamente todo lo que un tercero podría interesarle de un perfil específico.

La estrategia seguida es exactamente la misma que en su día expliqué en el tutorial ¿Qué datos se pueden obtener de una persona en Internet?, solo que centrado en Facebook. En dicho tutorial lo único que un servidor hacía era, partiendo del nombre completo de una persona, intentar obtener toda la información posible mediante técnicas de fingerprinting, esto es, revisando toda la información que esta persona tiene expuesta de manera pública en la red.

Y, por supuesto, acabé utilizando Facebook para conocer el nombre de sus padres y familiares, el lugar donde vivía y un largo etcétera.

Pero lo importante, y con lo que quiero que te quedes, es que toda esa información es accesible por un tercero (como era mi caso) con el que no existe ningún tipo de relación simplemente porque el usuario, consciente o incoscientemente, ha permitido que estuviera disponible de forma pública.

Cosa de la que se aprovecha Stalkers (aquellas personas que se dedican a espiar y hasta acosar a terceros por la red). Ni más ni menos.

¿Qué puede ver un tercero de mi perfil de Facebook?

Un servicio como Stalkscan lo único que hace es emitir las peticiones a la API de Facebook, y ésta, YA EN LOS DOMINIOS DE FACEBOOK, muestra la información pedida:

  • Si hacemos esto desde nuestro perfil de navegación habitual, donde además tenemos por defecto las credenciales de usuario de nuestra cuenta, por supuesto nos va a mostrar hasta la cocina de nuestro perfil. ¡Estamos pidiendo a la API de Facebook con nuestras credenciales que nos muestre información nuestra!
  • Si hacemos lo propio con perfiles de amigos, nos mostrará todo lo que estos amigos tienen expuesto de manera pública y también todo aquello que éstos muestran a sus conocidos, por la sencilla razón de que nosotros somos uno de ellos.
  • Si de verdad queremos saber qué puede conocer un desconocido de nuestra cuenta, tendríamos que crearnos una cuenta de Facebook, loguearnos, y luego abrir el servicio con esas credenciales para realizar una búsqueda por nuestro perfil. Y entonces sí veríamos exactamente lo que podría ver una persona que no está en nuestros círculos de amistades (ni en los círculos de amistades de alguna de nuestras amistades, que esa es otra…).
  • Por supuesto, si intentamos hacer esto sin loguearnos con una cuenta, nos mostrará siempre errores de búsqueda, ya que los perfiles de Facebook, a diferencia de en redes como Twitter, son cerrados (hace falta estar logueado para ver información).
Stalkscan

Y aquí viene lo bueno. Sin falta de utilizar una herramienta como Stalkscan podemos ver casi todo (luego explico este casi) lo que un desconocido o un amigo puede ver de nosotros consultándolo directamente desde los este enlace.

En este apartado tenemos la opción de revisar Quién puede ver lo que compartes, que nos guiará en unos pocos pasos por toda la información que tenemos disponible en nuestro perfil y quiénes pueden verlo:

  • Solo yo: la opción más privada. Nadie podrá ver esta información (a excepción de tú y de Facebook).
  • Amigos excepto conocidos: Lo podrán ver tus amigos que no estén etiquetados como conocidos.
  • Amigos: Lo podrán ver todos tus amigos.
  • Público: Lo puede ver cualquiera que tenga un perfil de Facebook (o en el caso de páginas), cualquier usuario de Internet.

Justo el tipo de información que nos debería interesar tener controlada.

Es cuestión de abrir en una pestaña esto, y en otra nuestro perfil, e ir ocultando (cambiando los ajustes a «Solo Amigos» o «Solo Yo») aquello que no queramos que sea visible por terceros.

A saber:

  • Cualquier foto o vídeo que hayamos usado en algún momento como foto de perfil o de fondo pasará a estar publicada de manera pública automáticamente. Podemos, siempre y cuando ya no estemos utilizándola para esto, volver a ocultarla desde sus propios ajustes.
  • La información de la cuenta es también una herramienta muy jugosa. Ya no solo es usada para la plataforma para sugerirnos nuevos amigos (¿nunca te has preguntado cómo sabe Facebook que conoces a esa persona que te acaba de pasar su número de teléfono o su email?) y mostrarnos publicidad enfocada a nuestros gustos, sino también para obtener información nuestra por parte de desconocidos. Como muestro en las imágenes inferiores, podemos modificar su visionado para ocultarla según la cercanía que tengamos con ese usuario.
La información de la cuenta Facebook
  • Todo el contenido publicado antes de que Facebook pasara a compartir las actualizaciones de estado de públicas a solo amigos seguirá estando visible. Podríamos ir de uno en uno modificando su privacidad, o cambiar absolutamente todo de golpe con un truquillo que explicaré a continuación.

No obstante, decía antes que de esta manera veíamos casi todo, y es que sí es verdad que hay información que de forma sencilla no es localizable por la interfaz de Facebook.

Hablo en este caso de posibles interacciones (Me Gusta, comentarios,…) que hayamos dado a actualizaciones públicas (como, por ejemplo, una página, o la actualización de un amigo) que desde el perfil no son visibles (no dejan rastro en nuestro timeline), pero que sí se pueden mostrar mediante peticiones a la API, o mediante búsquedas en el Graph Search (el buscador) de Facebook.

Y es información que podría ser verdaderamente interesante de cara a un eventual ataque dirigido, fraude o extorsión. Simplemente el saber que una persona suele dar Me Gusta a las actualizaciones de grupos y/o páginas afines a una ideología política, social o religiosa, puede servir de gancho para atacarla. O incluso de cara a suplantarle la identidad en un futuro.

Este es el punto débil que tiene, como comentábamos en el Módulo 1 del Curso, depender de terceros para controlar la información personal. Hay que darse cuenta de que controlar absolutamente toda la información que exponemos por la actividad de un perfil de Facebook se antoja verdaderamente difícil.

Toda fotografía que hayamos usado como portada de fondo o como foto de perfil queda expuesta de manera pública automáticamente, con todos los comentarios e interacciones que hubiera en ella. Lo que significa que esto también nos afectará cuando un conocido haga lo propio con una fotografía suya, exponiendo así cualquier actividad que hayamos hecho en ese hilo.

Publicaciones e historias Facebook

Afortunadamente, dentro de la misma página que vimos antes tenemos la opción de Limitar la audiencia de publicaciones anteriores.

Esto, además de cambiar automáticamente todo contenido antiguo expuesto de forma pública a visible únicamente para Amigos, nos cambia de paso cualquier fotografía que hayamos usado en algún momento como foto destacada del perfil, e incluso «hace desaparecer» de las búsquedas actualizaciones que hayamos hecho en páginas y grupos abiertos.

Es importante que repasemos dos bloques de privacidad más:

  • Cómo pueden encontrarte las personas en Facebook: Sobre todo para decidir si queremos que alguien nos pueda encontrar por número de teléfono o email, y si además queremos que nuestro perfil aparezca en las búsquedas internas.
  • Configuración de tus datos en Facebook: Sobre todo para saber si en algún momento hemos dado acceso a nuestra cuenta a un servicio de terceros. Normalmente estas apps son simples servicios donde has utilizado tu cuenta de Facebook para loguearte. Y por ello, asegúrate si hay alguna que ya no estés utilizando para nada, quitándole entonces los permisos. Este tipo de aplicaciones pueden llegar a ser vendidas a terceros sin escrúpulos para realizar extorsiones y fraudes de múltiples tipos a nuestros conocidos. Sin ir más lejos, todo lo ocurrido alrededor de Cambridge Analytica con el uso de hasta 80 millones de ciudadanos norteamericanos para influenciar en las campañas presidenciales en las que ganó Trump se debe, precisamente, a una gestión exagerada y tergiversada de estas funcionalidades. Además, suponen en sí un vector extra de ataque de nuestra cuenta. Además, en este mismo bloque, podemos decidir si queremos o no que Facebook pueda reconocer nuestra cara en imágenes subidas por un tercero donde no nos han etiquetado (perdemos privacidad a cambio de aumentar la seguridad de nuestra presencia digital).

Algunas nociones extra de seguridad

Pero recalco que esto compete únicamente a aquellas actualizaciones que afectan a nuestro perfil, no a aquellas que afectan al perfil de terceros (amigos y amigos de amigos) donde quizás hayamos realizado con anterioridad alguna interacción.

Los permisos para acceder a ese contenido no son controlables por nosotros, sino por el propietario de esa actualización (la página, el perfil que lo publicó…). Y ahí, al menos por ahora, sí estamos vendidos.Por ello, si algo de verdad debe ser privado, no lo cuelgues en Internet, ni en esta red social ni en cualquier otro servicio.

Recuerda además utilizar una contraseña robusta y evitar conectarte desde conexiones y/o dispositivos inseguros.

autenticacion en dos pasos Facebook

Facebook te da la opción de enviarte una notificación al email cada vez que alguien quiere acceder a la misma. También ofrece un segundo factor de autenticación basado en un código que te enviarían al email cada vez que alguien quisiera acceder a tu cuenta desde un nuevo dispositivo. Es IMPORTANTÍSIMO que actives este último, ya que solo con esto te quitas de en medio tranquilamente el 95% de los ataques dirigidos a robar usurpar identidades.


Todo esto son opciones que te ofrecen desde el apartado de Seguridad, dentro del menú de Ajustes, o directamente en el bloque Cómo proteger tu cuenta de facebook.com/privacy/checkup y que segurizan un poco más el perfil.

Pero principalmente quiero que te quedes con la idea de que:

  • La privacidad en Facebook es relativamente difícil de gestionar.
  • La propia plataforma cada vez nos dota de mayores garantías para ello.
  • Aún así, siempre hay que tener en cuenta que lo que de verdad debería ser privado no debería tener cabida en Facebook (ni en Internet, ya puestos).

¡Nos vemos en unos días!

Sobre el autor

Pablo F. Iglesias

Experto en Ciberseguridad

Mi nombre es Pablo F. Iglesias, y soy, ante todo, un apasionado de la tecnología, con más de diez años de experiencia en el desarrollo, marketing y la ciberseguridad.

Me gano la vida como Consultor de Presencia Digital y Reputación Online, aunque también he trabajado para otros (I+D de Telefónica, Mozilla, BBVA…). De hecho soy el presidente de la Consultora de Reputación Online CyberBrainers, y en todo este tiempo he sido fundador, co-fundador, vocal y vicepresidente de varias startups y asociaciones relacionadas con el mundo de la ciberseguridad, la transformación digital y el marketing.