Llegamos a ustedes gracias a:



Columnas de opinión

Solicitar contraseña de Facebook, una práctica que pone en riesgo su seguridad

Por: Rob Ayoub, evangelista de seguridad de Fortinet

[08/06/2012] En los últimos años las redes sociales han cambiado totalmente la forma de ver e interactuar con el mundo? incluso la forma de entrevistar y contratar a una persona por parte de una empresa. En el año 2009, el gobierno de una ciudad de Montana, en los Estados Unidos, se encontraba ante el peor escándalo público que surgió cuando en los medios se dio a conocer la noticia de que los miembros del gabinete tenían la astucia de solicitar como requisito brindar acceso a las redes sociales de toda aquella persona que aplicaba a ocupar cualquier cargo en la administración.
Esos eran los buenos tiempos.
La cuestión una vez más llegó a la atención pública debido a que en las últimas semanas surgieron diversos reportajes en las noticias que comenzaron ha indicar que cada vez más empleadores siguen ese ejemplo, y que el demandar las contraseñas de las redes sociales de los usuarios se está convirtiendo cada vez más en una práctica de contratación aceptada.
En el mismo sentido, existe otra tendencia que se ha dado a conocer como la "navegación por encima del hombro", la cual consiste en pedir a un empleado potencial iniciar su sesión de Facebook, mientras es observado por encima de su hombro al navegar y dar clic en fotos, videos y actualizaciones de su estado en búsqueda de cualquier material comprometedor o potencialmente escandaloso.
Facebook atendió a esta tendencia en un blog que subraya que, además de una serie de violaciones a la privacidad, los empleadores están en riesgo de una mayor responsabilidad legal por conocer la información personal del candidato (como lo es la edad de un usuario, su herencia, afinidades políticas, religiosas o alguna discapacidad), que podría involucrarlos en algún momento en una demanda por discriminación, si el candidato no obtuviera el trabajo. En este sentido, Facebook mantiene en un blog que la solicitud de una contraseña de Facebook a empleados o candidatos a un empleo resulta en una violación flagrante de los términos establecidos por la red social y sus condiciones.
Pero además de las numerosas ramificaciones legales, los empleados también se están sometiendo a un sin fin de problemas de seguridad mediante la entrega de las llaves de acceso a su reino de Facebook.
En primer lugar, las reglas de seguridad dictan que si algún usuario no autorizado ha accedido a su contraseña de la cuenta, está obligado a cambiar de inmediato todas sus credenciales de inicio de sesión. Así que entonces, ¿por qué no hacer ese cambio cuando ha compartido los nombres de usuario de Facebook y acceso a un gerente de recursos humanos que no conoce, y al que probablemente no le tiene plena confianza?
Cuando los usuarios pierden sus contraseñas, desconocen de qué forma serán utilizadas, o quién va a acceder a su cuenta posteriormente. Quién puede decir si la persona de recursos humanos de la organización o el personal directivo se pondrán a husmear en su perfil de Facebook solo por el gusto de hacerlo, incluso después de haber aceptado o declinado el trabajo. O es posible que alguien pueda publicar algo humillante o inadecuado en su muro. Después de todo, ellos cuentan con las contraseñas de inicio de sesión.
Incluso si uno no acepta el trabajo, les ha dado la contraseña. Pueden incluso realmente cambiar su contraseña sin su conocimiento o eliminar su cuenta.
Además, muchos usuarios tienen las mismas contraseñas para múltiples cuentas sensibles como su cuenta bancaria. Una vez que un usuario proporciona su contraseña a recursos humanos, esta persona podría tener acceso a muchos más datos sensibles. Claro, la respuesta es fácil: uno debe cambiar la contraseña. Pero, ¿realmente los usuarios saben esto o piensan en ello?
Casi todas las cuentas de Facebook contienen una gran cantidad de información de identificación personal - edad, fecha de nacimiento, dirección, números de teléfono y los lugares que frecuenta – que puede potencialmente ser utilizada en el robo de identidad. Entregar una contraseña es como si entregara las llaves de su casa a su jefe o decirle: "no dude en consultar libremente mis estados de cuenta de la tarjeta de crédito y asegúrese de abrir todos mis diarios".
Y aunque la mayoría de los gerentes y el personal de recursos humanos sean personas honestas, no hay forma de determinar si la seguridad de la computadora que alberga la base de datos de credenciales de Facebook es robusta. Si el equipo o cualquier otra aplicación en la máquina contienen una vulnerabilidad de seguridad, cualquier información almacenada se encuentra en riesgo de caer en manos de hackers si el equipo llega a ser infectado con un botnet, o algún troyano que robe información o un keylogger. Con el fácil acceso a un botín de registros de login de Facebook, un botnet podría poner en riesgo el perfil de un usuario mediante un enlace infectado y con ello pondría en riesgo a todos los contactos de la víctima.
La buena noticia es que la práctica de solicitar contraseñas de Facebook ha sido recibida con una fuerte reacción en contra que está creciendo cada vez más, a pesar de que recientemente algunos representantes gubernamentales se negaron a promover una ley que impida a las organizaciones a demandar sus logins a prospectos y futuros empleados.
El hecho de que las encuestas muestran que una gran mayoría de usuarios se oponen fuertemente a estas prácticas de contratación, es prueba de que la cuestión de la privacidad del usuario no será derrotada sin pelear. Pero por ahora, eso es todo lo que podemos esperar.
CIO, Perú