El sistema de autenticación a dos pasos de Facebook (llamado 2FA) está bajo la lupa en estos días por algunas fallas de diseño que han pasado desapercibidas por algún tiempo. Un ingeniero de software llamado Gabriel Lewis, en Estados Unidos, notó hace unos días que Facebook estaba usando el mismo número de celular que que ingresó para su 2FA, para notificarle sobre publicaciones de sus amigos. Se supone que el número de teléfono registrado para 2FA solo se usa para tener una forma de ingreso segura a la cuenta de la red social.
Lewis respondió a estos mensajes con cualquier texto, como ‘Por favor paren’. Y parece que esto hace que se publiquen esos mensajes como publicaciones en el muro de Facebook. The Verge dice que esto ocurre con cualquier responde a un mensaje de texto enviado al sistema de 2FA de Facebook. Cientos de usuarios en Twitter dicen que les pasa lo mismo con el celular que ingresan en Facebook y en Instagram, por seguridad. Para cerrar el caso, Lewis dice que nunca ha habilitado notificaciones vía mensajes de texto.
So I signed up for 2 factor auth on Facebook and they used it as an opportunity to spam me notifications. Then they posted my replies on my wall. ♂️ pic.twitter.com/Fy44b07wNg
— Gabriel Lewis (@Gabriel__Lewis) February 12, 2018
«Activé la autenticación de dos pasos en Facebook y fue usada como una oportunidad para enviarme notificaciones de spam. Luego publicaron mis respuestas en el muro,» afirmó Lewis en el anterior tuit.
El caso de Lewis obtuvo bastante visibilidad en los últimos días. Especialmente cuando un reconocido crítico y sociólogo experto en tecnología, Zeynep Tufekci, habló sobre el tema en Twitter. Tufekci critica la posición de Facebook de exprimir las métricas de interacción de sus usuarios.
This is horrible. You give Facebook your phone number for login authentication; instead, it abuses it to SMS spam to drive up “engagement”, and when you reply to spam, is posts it on your wall. https://t.co/vPXdwHEyTM
— zeynep tufekci (@zeynep) February 14, 2018
«Esto es horrible. Le das a Facebook tu número para autenticación de ingreso; en cambio, abusa de él con spam de SMS para disparar ‘interacción’, y cuando respondes al spam, lo publica en tu muro», dijo el experto.
Además de ser molesto y casi que irrespetuoso, esta situación tiene una ‘capa’ legal, explica el medio. En Estados Unidos existe un acta de protección al consumidor llamada Telephone Consumer Protection Act. Esta dice que ninguna compañía puede contactar a las personas a través de mensajes de texto sin tener un permiso expreso antes. Ya Facebook tiene varias demandas por usar mensajes de texto para recordar cumpleaños de amigos, entre otros spams.
¿’Bug’ o spam intencional?
Hasta el momento no es claro si el reciente comportamiento del 2FA es un ‘bug’ o una falla. Aunque el medio dice que la función de autopublicación al perfil sí parece serlo. Pero si la compañía está usando intencionalmente los números de 2FA para que los usuarios interactúen en Facebook sin su consentimiento, se podría prestar para demandas serias.
Finalmente, en un comunicado, un representante de Facebook no comentó directamente sobre el problema de publicaciones automáticas de los mensajes de texto. Es decir, no dijo si era intencional o una falla del sistema. La compañía dijo que está investigando sobre el problema de las notificaciones vía mensajes de texto. Y también dijo que se está mirando la posibilidad de usar un generador de códigos. Esto en caso que un usuario no quiera ingresar un número de celular.
Imagen: Pixabay.
