Diseñar la seguridad de la cuentas en nuestras aplicaciones

1 año ago

Nathaniel Gleicher, director de Ciberseguridad, y Jimena Almendares, directora de Asistencia y Experiencia del Cliente

Conclusiones:

Compartimos una mirada sobre cómo las plataformas tecnológicas desarrollan sistemas de seguridad y recuperación de cuentas para ayudar a nuestros usuarios, al tiempo que los mantienen alejados de malos actores.
Estamos lanzando nuevas funciones de seguridad para ayudar a mantener seguras las cuentas de los usuarios y reforzar nuestro apoyo para ayudarles si pierden el acceso.
También estamos desplegando nuevas herramientas e iniciativas educativas en Messenger e Instagram para mantener a la gente a salvo del phishing y el malware.

A medida que este año se acerca a su fin, compartimos una serie de actualizaciones sobre nuestro trabajo para proteger a las personas de todo el mundo frente a diversas amenazas.

Sabemos que la seguridad y la recuperación de las cuentas es una prioridad para la gente, por lo que hoy compartimos una mirada entre bastidores a algunas de las tensiones a las que se enfrentan empresas como la nuestra a la hora de diseñar herramientas de seguridad de cuentas que ayuden a proteger a las personas al tiempo que ahuyentan a los malos actores. También detallamos las nuevas funciones de seguridad que hemos lanzado este año y destacamos por qué es fundamental que la gente mantenga sus contactos -como su correo electrónico o sus números de teléfono- seguros y actualizados para evitar una de las principales formas de poner en peligro una cuenta.

Aplicación de la estructura adversa a la seguridad de las cuentas

Desde que dimos a conocer nuestros planes el año pasado para ampliar nuestros esfuerzos en materia de asistencia, hemos seguido poniendo a prueba nuestros sistemas de seguridad y asistencia de cuentas para entender cómo pueden estar intentando burlarlos los malos actores. Este espacio es muy adverso, por lo que pensamos constantemente en cómo se puede abusar de nuestros productos y nuestros canales de asistencia; tenemos que seguir evolucionando nuestras defensas y procesos en respuesta a los agentes maliciosos que intentan sortearlos.

Siempre es un equilibrio delicado, porque si endurecemos demasiado los controles de seguridad de las cuentas, personas inocentes tendrán dificultades para utilizarlas y recuperarlas. Si los relajamos demasiado, a los malos les resultará más fácil abusar de nuestros sistemas para poner en peligro a las personas. De hecho, vemos con regularidad cómo las amenazas se dirigen a los mismos sistemas que creamos para proteger a las personas, intentando eliminar sus cuentas.

Como ejemplo de este tipo de controles, en nuestro soporte de recuperación de cuentas, utilizamos varias señales de verificación y desafíos para ayudar a detectar actividades sospechosas y validar los intentos de acceso legítimos. Estos retos pueden ir desde solicitar una copia de la identidad de una persona o confirmar un código enviado a un dispositivo que en su día se conectó a la cuenta.

Los puntos de contacto

Una vez verificada la solicitud de recuperación de una cuenta, las plataformas como la nuestra se basan en los puntos de contacto -como una dirección de correo electrónico o un número de teléfono- que figuran en la configuración de la cuenta de alguien como canal principal para ofrecer asistencia, como los enlaces de restablecimiento de contraseña. Nuestros estudios demuestran que las personas tienen el doble de probabilidades de recuperar su cuenta de Facebook si sus puntos de contacto están actualizados para que podamos ponernos en contacto con ellos.

Sin embargo, la gente puede perder el acceso a una antigua cuenta de correo electrónico o puede cambiar de número de teléfono: es un reto notorio en todo nuestro sector. También hemos visto que las amenazas se dirigen a estos puntos de contacto para obtener un amplio acceso a las cuentas en línea de una persona, utilizándolas para restablecer las contraseñas de otras cuentas conectadas: banca, redes sociales y otras. De hecho, cuando analizamos las cuentas de Facebook comprometidas, descubrimos que uno de cada cuatro casos comenzaba con la toma del punto de contacto de una persona.

Actualizaciones de productos y asistencia

Nuestro trabajo para ayudar a las personas a mantenerse seguras y en control de sus cuentas es doble. En primer lugar, para evitar que las cuentas se vean comprometidas, creamos sistemas y ayudamos a las personas a aprender a identificar actividades potencialmente sospechosas en Internet. En segundo lugar, para ayudar a quienes tienen problemas de acceso, seguimos mejorando nuestra oferta de asistencia.

Punto de contacto

Hemos creado formas adicionales para que las personas puedan volver a sus cuentas cuando ya no tengan acceso a los puntos de contacto vinculados. Por ejemplo, en determinados casos, las personas pueden utilizar puntos de contacto eliminados recientemente para recuperar el acceso. Como resultado, este año hemos ayudado a recuperar su cuenta de Facebook a una media de ocho veces más personas al día que el año pasado, cuando no tenían acceso a los puntos de contacto que figuraban en la lista. También estamos enviando avisos globales a través de Facebook recordando a la gente que confirme sus puntos de contacto y explorando formas alternativas de confirmar la identidad de las personas durante el proceso de recuperación de la cuenta de Instagram, incluyendo el uso de su red de amigos.

Protección contra phishing y malware

Para ayudar a las personas a mantenerse seguras en nuestras aplicaciones, seguimos aplicando protecciones e iniciativas educativas:

Protección contra enlaces maliciosos: sabemos que las amenazas suelen dirigirse a grupos como periodistas, activistas, campañas políticas y empresas mediante el envío de enlaces que contienen phishing o malware. Una medida que hemos implementado para proteger contra esto en Messenger es utilizar nuestros sistemas automatizados para dirigir mensajes sospechosos si son enviados por usuarios desconectados. Como ocurre con muchas de nuestras medidas de seguridad, utilizaremos lo aprendido para fundamentar nuestra estrategia más amplia de protección de las personas.
Alertas de suplantación de identidad en Instagram: hemos eliminado las cuentas de Instagram que nuestros sistemas automatizados consideran maliciosas, incluidas las que suplantan la identidad de otras personas. Pero como es posible que los malos actores no utilicen inmediatamente las cuentas de forma malintencionada, estamos probando a enviar advertencias cuando una cuenta de la que sospechamos que puede estar suplantando la identidad de alguien te pide que le sigas. En los próximos meses, también enviaremos avisos si una cuenta que pueda estar suplantando la identidad de una empresa te envía un Mensaje Directo.
Mayor visibilidad del sello de verificación en Instagram: también estamos ampliando dónde aparece el sello de verificación de la cuenta en Instagram para que sea visible en más lugares, incluidas las Historias y los Mensajes Directos, para ayudar a las personas a confirmar que las cuentas con las que interactúan son auténticas y están verificadas.

Probar la asistencia por chat en directo

Aunque nuestras herramientas de recuperación de cuentas a escala pretenden resolver la mayoría de los problemas de acceso a cuentas, sabemos que hay grupos de personas que podrían beneficiarse de una ayuda adicional dirigida por personas. Este año hemos hecho una pequeña prueba con un chat en directo en Facebook, y estamos empezando a ver resultados positivos. Por ejemplo, durante el mes de octubre ofrecimos nuestra opción de asistencia por chat en directo a más de un millón de personas en nueve países, y tenemos previsto ampliar esta prueba a más de 30 países de todo el mundo.

Soporte de acceso a cuentas de Instagram

Hemos lanzado instagram.com/hacked para ayudar a la gente a informar y resolver los problemas de acceso a la cuenta. También hemos puesto en marcha una forma de que la gente pida a sus amigos que confirmen su identidad para ayudarles a recuperar el acceso a su cuenta de Instagram.

Agradeceremos los comentarios de la comunidad investigadora y de nuestros colegas de la industria, ya que todos estamos tratando de equilibrar estas diversas tensiones para proteger a las personas y disuadir a los actores maliciosos.