El último robo de información anunciado por Facebook el pasado día 29, que afecta potencialmente a más de cincuenta millones de usuarios, es un aviso más – el enésimo – para que los usuarios establezcan buenas prácticas de seguridad. Sí, hablamos de Facebook, una red que muchos usuarios podrían estar tentados a considerar no especialmente crítica o importante, pero no es así. Incluso si no utilizas Facebook habitualmente, es posible que utilices sus credenciales de acceso como login en otras redes, o que, a partir de la información acumulada en tu cuenta de Facebook, incluso aunque puedas llevar tiempo sin usarla, se pueda planear un posible robo de identidad.

En la práctica, que la seguridad de Facebook haya sido vulnerada y que exista la posibilidad de que alguien pueda hacer login en tu cuenta sin tu consentimiento, aunque no tenga tu contraseña, debería servir como un recordatorio más de que pongas al día, si no lo has hecho ya, tus prácticas de seguridad. El problema de Facebook no ha hecho que los delincuentes hayan tenido acceso a tu contraseña, sino a los access token, los pequeños archivos que nuestros navegadores utilizan para mantenerlos logados en el sitio. Si desde el viernes 28 de septiembre pasado has recibido un aviso inusual de Facebook pidiéndote que te logues con tu usuario y contraseña, es posible que estés afectado.

¿Cómo deberíamos plantearnos la seguridad ya no en Facebook, sino en general, hoy en día? De entrada, no utilizando contraseñas como se han utilizado habitualmente. Olvida tus contraseñas, no te inventes ninguna más – ni mucho menos reutilices una en muchos sitios – y utiliza en su lugar un gestor de contraseñas como LastPass o 1Password, que asigna una contraseña imposible de recordar a cada servicio, y la cambia por otra igualmente imposible de recordar si tienes cualquier problema de seguridad o sospecha de que podrías tenerlo. Tanto si eres responsable de tu propia seguridad como si lo eres de una compañía, deberías plantearte que las prácticas tradicionales de seguridad, por mucho que incluyan cambios periódicos de contraseña, están desactualizadas y son peligrosas, y que lo adecuado es sustituirlas por gestores de contraseñas.

¿Qué hacer, por tanto, aprovechando el problema de Facebook? De entrada, si no lo tenías, decídete a utilizar un gestor de contraseñas, y cambia la contraseña que tenías en la red social y, si las tenías como login independiente, también las de servicios como Instagram o WhatsApp. Una vez que hayas cambiado esas tres, hazte una ronda por todos los sitios que utilizas habitualmente, y sustituye todas las contraseñas de tipo mnemotécnico por las que tu gestor de contraseñas te indique, y hazlo de manera ordenada, organizada, sitio por sitio, proporcionando al gestor no solo el nombre del servicio, sino también la página de login, para que te resulte fácil cambiar esas contraseñas por otras posteriormente. Además, activa la seguridad de doble factor: el engorro es relativamente pequeño, no va más allá de recibir un SMS en tu smartphone cada vez que haces login en un dispositivo no habitual, pero te proporcionará una buena dosis de tranquilidad mental. Si quieres un nivel de seguridad aún mayor, puedes optar por un dispositivo físico, como los que utilizan los empleados de Google – ahora disponibles para todo el mundo – o las populares YubiKey de Yubico.

Nuestras posesiones digitales, sean del tipo que sean, precisan de cerraduras y sistemas de seguridad acordes a los tiempos en que vivimos. Afortunadamente, además, la seguridad está haciéndose cada día más cómoda, más conveniente y menos propia de expertos: utilizar un gestor de contraseñas o una llave de hardware está absolutamente al alcance de cualquiera, y no debe ser visto como algo que nos complique la vida, sino como un procedimiento cada vez más sencillo que sirve, eso sí, para dificultar u obstaculizar intentos de vulnerar nuestra seguridad. Si no lo has hecho ya, deja que las alertas periódicas de seguridad de los servicios web que utilizas se conviertan en recordatorios de que debes hacerlo lo antes posible.

This post is also available in English in my Medium page, “Facebook’s latest account breach: see it as a reminder to update your security”