Facebook combatirá la publicación de contraseñas robadas


El robo de datos personales como direcciones de correo electrónico y contraseñas puede tener consecuencias más grandes de lo que muchos piensan debido a que la gente suele usar la misma contraseña en varios sitios web. Desafortunadamente, es cada día mas común que los atacantes compartan públicamente esos datos que roban en los sitios públicos como 4chan, Pastebin o incluso la Deep Web.

Por eso, Facebook ha decidido tomar cartas en el asunto y anunció el lanzamiento de un sistema mediante el cual revisará periódicamente la web en busca de contraseñas que hayan sido robadas, para alertar a sus dueños de que las cambien antes de que los cibercriminales las utilicen con fines delictivos o maliciosos.

Construimos un sistema dedicado a mejorar la seguridad de las cuentas de Facebook de la gente, buscando activamente publicaciones abiertas, analizándolas y notificando a las personas cuando descubrimos que sus credenciales han aparecido en Internet. Para esto, monitoreamos una selección de diferentes sitios buscando credenciales robadas y reportes de brechas a gran escala.

Ahora bien, ¿cómo funcionará exactamente este proceso?

Al recopilar una lista de correos y contraseñas robadas, Facebook las pasa por sus servidores. Aquellas que funcionen y les permitan acceder a cuentas de usuarios, son reseteadas automáticamente y sus dueños serán notificados para que cambien inmediatamente su contraseña la próxima vez que accedan a la red social.

Recolectamos las credenciales robadas que han sido publicadas y chequeamos que la combinación de email y contraseña sea la misma utilizada en Facebook. Este es un proceso completamente automático que no requiere que sepamos o almacenemos tu contraseña real sin calcularle el hash. En otras palabras, nadie aquí tiene tu contraseña en texto plano. Para buscar coincidencias, tomamos la dirección de correo electrónico y la contraseña y las pasamos por el mismo código que usamos para verificar durante el login. Si encontramos una coincidencia, te notificaremos la próxima vez que accedas y te guiaremos en el proceso de cambiar tu clave.

Si bien es cierto que muchas veces esos listados publicados son antiguos o corresponden a cuentas en desuso e incluyen claves que ya fueron cambiadas, es igualmente destacable la implementación de este control por parte de Facebook.