A finales de agosto de 2013 Facebook actualizó dos textos de gran importancia; la Política de uso de datos y la Declaración de derechos y responsabilidades que rige a los usuarios de la red social. Más allá del debate general que se produce cuando este tipo de servicios modifican sus políticas, nos referiremos puntualmente a los cambios que rigen a las aplicaciones de Facebook, es decir, juegos, sitios web de terceros, y aplicaciones varias (incluyendo algunas que pueden presentar un comportamiento indeseado).
Tal como aparece consignado en la publicación "Resumen sección por sección" de Facebook (documento a modo de resumen sobre los cambios que aplicó Facebook), las aplicaciones y otros sitios de terceros pueden obtener acceso a ciertos datos del usuario como información básica y lista de contactos. Si bien este comportamiento permite mejorar el aspecto social de juegos tan exitosos como Candy Crush, título que permite cierta “interacción social” entre usuarios de Facebook y distintas plataformas como iOS y Android, una aplicación maliciosa podría aprovechar dicha característica para conseguir un prolífico vector de propagación (lista de contactos) y obtener información que pudiera llegar a ser sensible. Aunque Facebook no menciona explícitamente el tema de las aplicaciones maliciosas, sí recomienda eliminar aplicaciones que ya no se utilicen. Para acceder a esta sección se debe hacer clic en el icono en forma de rueda dentada --> luego presionar sobre Configuración de privacidad (1) --> Aplicaciones (2) --> Clic en la “X” (3). La siguiente captura muestra el procedimiento planteado anteriormente (hacer clic para agrandar la imagen):
Este aspecto es crucial porque a pesar que herramientas como ESET Social Media Scanner permiten proteger el perifl de Facebook y alertar a los contactos en caso de detectar aplicaciones maliciosas para Facebook, existen otros riesgos que van más allá del malware.
Por ejemplo, cada aplicación que se utiliza puede almacenar en otro servidor la información de la persona. Esto implica que las garantías de protección de Facebook no rigen y que es el propio usuario quien debe informarse de las políticas de uso de datos de la aplicación. En este sentido, al recomendar eliminar aplicaciones en desuso se disminuye la posibilidad de detectar alguna aplicación maliciosa o cuya política no sea del todo conocida por el usuario. Asimismo, esto no significa que estudiar la política de uso de la aplicación es la mejor forma de determinar la seriedad de los desarrolladores de algún programa.
Igualmente, cada vez que se agregue una aplicación o un sitio web que intente interactuar con una cuenta de Facebook, es fundamental leer los permisos que se solicitan y pensar si realmente dichos requerimientos son necesarios para el funcionamiento adecuado. Por ejemplo, si un sitio de noticias desea utilizar nuestro nombre para publicar comentarios, es un comportamiento esperado, sin embargo, podría resultar sospechoso si un supuesto juego o aplicación quiere acceder a todas las fotografías y otros datos sensibles del usuario sin función aparente.
En esta línea, la actualización hecha al documento "Resumen sección por sección" de Facebook también menciona que el usuario puede ponerse directamente en contacto con la aplicación (proveedor) para solicitar que se eliminen los datos compartidos, por lo tanto, una aplicación o juego legítimo debería permitir dicha interacción. Finalmente la empresa menciona que las Políticas de uso en la sección “Otros sitios web y aplicaciones” ahora muestran ejemplos de uso para que los usuarios puedan entender fácilmente las implicancias de utilizar aplicaciones en Facebook y qué significan los permisos que pueden solicitarse. A continuación se puede observar algunas de las actualizaciones concernientes a la política de uso de datos en aplicaciones y sitios de terceros:
Como conclusión, es posible afirmar que las aplicaciones en Facebook requieren del mismo cuidado por parte del usuario que otras plataformas como Android, Windows, Linux, etc. En otras palabras, no seguir enlaces dudosos, desinstalar programas no utilizados, evitar instalar aplicaciones desconocidas o de dudosa reputación, entre otras medidas. Por otro lado, la actualización hecha por Facebook a su Política de uso de datos contempla otros cambios no mencionados en este post respecto a la privacidad, seguridad, uso de dispositivos móviles, etc. Más allá de lo que cada persona pueda opinar al respecto, cabe considerar que cuando alguien acepta explícitamente un contrato, política, u otro instrumento, declara que acepta los términos y condiciones.
André Goujon
Especialista de Awareness & Research