Esta semana vuelve a estar de actualidad Facebook y su afán recoletor de datos. Esta vez la revista alemana DER SPIEGEL ha entrevistado a Arturo Bejar, el director técnico de Facebook.
Ya nos hicimos eco de ello hace algo más de dos meses en la entrada: «Facebook tiene problemas para explicar su seguimiento de usuarios«.
El fundamento de todas las explicaciones que se le están pidiendo a Facebook es que ellos guardan en el ordenador de todos los usuarios que han accedido alguna vez a la web de Facebook varios cookies y con un número de identificación único.
Facebook siempre ha alegado que esa información es necesaria para evitar los 600.000 logins fradulentos que se producen cada día.
Este sistema de seguridad llamado «Delta» comprueba en cada login si la cuenta de usuario está siendo utilizada fraudelentamente por un tercero. Esta comprobación la realiza con el cookie DATR y la información que contiene. Este cookie lo tiene cualquier ordenador que ha accedido alguna vez a la página de Facebook y tiene una vida de 2 años (a no ser que se eliminen las cookies).
Cada vez que se produce un login, Facebook comprueba en su base de datos las IPs desde las cuales normalmente se accede a esa cuenta o si en el ordenador existe una cookie DATR. Si un usuario normalmente se conecta desde España y de repente se conecta desde el Niger, esto produce una alerta en el sistema de seguridad si el ordenador no tiene una cookie DATR. Si el navegador tiene una cookie DATR y el usuario ha accedido varias veces a su cuenta desde el mismo, entonces la conexión se considera correcta y no se produce alerta en el sistema de seguridad.
La lógica de este sistema es la siguiente: Podría ser que alguien nos haya robado los datos de acceso a través de un ataque de phising.
Si nos conectamos desde otro país y desde un navegador que no tiene nuestra cookie DATR, Facebook nos pedirá que autentifiquemos que somos nosotros, mostrándonos 3 amigos y 9 posibles nombres de los mismos. Solo si los respondemos correctamente nos dará acceso.
Facebook también usa la cookie DATR para otros sistemas de seguridad que no vienen activados por defecto, por ejemplo la aprobación de inicio de sesión o dispositivos conocidos.
Según Arturo Bejar, director técnico de Facebook, Facebook no usa ningún tipo de huella digital del navegador ni del ordenador (aunque podría) para facilitar que el usuario en cualquier momento pueda eliminar las cookies o directamente prohibir su uso; dando siempre el «control» al usuario.
Además del sistema de seguridad «Delta» Facebook también usa otro llamado «Sigma» que analiza al día 20.000 millones de acciones en Facebook para ver si hay patrones que puedan dar pistas sobre un mal uso de las cuentas. Así cada vez que se registra una cuenta nueva, se publica algo, se da de alta una aplicación, etc, es posible que este sistema de seguridad decida que hace falta una verificación adicional (por ejemplo por código SMS).
Esto se hace para evitar dar de alta una cuenta nueva y enviar a continuación cientos de solicitudes de amistad. Eso solo es posible si se ha verificado al usuario.
Para «Sigma» los usuarios de confianza son los que interactuan con otros usuarios en Facebook, tienen un registro bueno de logins o una cookie DATR consistente.
Si un usuario accede a una página que tiene un plugin de Facebook instalado, este le remite a Facebook el ID del cookie DATR, la URL de la web, la IP y la hora del acceso. Facebook no almacena esta información de forma detallada, sino agrupada y la eliminan después de 90 días.
Para acabar: Facebook vuelve a recalcar continuamente que la información de uso de páginas de terceros nunca se enlaza a una cuenta de Facebook y que la cookie DATR solo se usa para saber cuanto de fiable es el usuario / navegador.
Seguiremos informando.