Facebook ha admitido -a través de un comunicado firmado por Pedro Canahuati, vicepresidente de ingeniería, seguridad y privacidad- que almacenaba cientos de millones de contraseñas en texto plano en un documento al que podían acceder sus trabajadores. La empresa avisará a los usuarios afectados, aunque asegura que no deberían preocuparse por su seguridad.

A pesar de que el comunicado llega dos días después de que el periodista Brian Krebspublicase la información, Canahuati no hace ninguna mención a su entrada y se limita a explicar que la compañía descubrió el fallo "en un análisis rutinario de seguridad" efectuado en enero.

Según la publicación de Krebs, que obtuvo la información de un trabajador de la firma conocedor de esta investigación rutinaria, entre 200 y 600 millones de usuarios se habrían visto afectados por el fallo de seguridad.

Esto encajaría con lo reconocido por Facebook, que estima que tendrá que avisar a "cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y decenas de miles de usuarios de Instagram".

El periodista también dio una cifra de empleados de Facebook con acceso al documento en el que se encontraban las contraseñas, y no es precisamente pequeño: 20.000. De ellos, siempre según su informador, unos 2.000 ingenieros y desarrolladores -solo estaba disponible para ellos- buscaron datos en el archivo, aunque no necesariamente contraseñas.

Canahuati aseguró que "estas contraseñas nunca fueron visibles para nadie fuera de Facebook y no hemos encontrado pruebas hasta el momento de que nadie hiciese un mal uso de ellas o accediese de forma inapropiada".

Lo normal es que cuando alguien crea una clave de acceso (ya sea en Facebook o en cualquier otra web), la plataforma la cifre y almacene esta información, de forma que sea capaz de reconocer si se ha introducido la contraseña correcta sin necesidad de que quede constancia de ella en texto.

A pesar de que el fallo podría poner en peligro a los usuarios, la red social por el momento no recomienda cambiar la contraseña (aunque sí explica cómo hacerlo). De todos modos, usará otras herramientas de protección, como realizar preguntas de verificación adicional si detecta que alguien trata de iniciar sesión desde un dispositivo o localización extraños. 


El Mundo