El año pasado se descubrió que el móvil configurado para el sistema 2FA de Facebook se usaba para mostrarte publicidad, pero ahora se ha descubierto que ese número permite que cualquiera, con o sin cuenta en Facebook, busque a otro usuario a través de esos números móviles añadidos a nuestras cuentas.
No solo eso: es imposible hacer desaparecer esa información y eliminar tu número de tu perfil en Facebook, una red social que sigue envuelta en más y más debates sobre privacidad y seguridad.
Publicidad y búsquedas que difícilmente podrás evitar
Jeremy Burge desvelaba el problema en Twitter, y lo hacía indicando que esos números móviles que añadimos a la cuenta de Facebook y que teóricamente están orientados a ofrecer mayor seguridad se usan para fines que los usuarios no conocían.
For years Facebook claimed the adding a phone number for 2FA was only for security. Now it can be searched and there's no way to disable that. pic.twitter.com/zpYhuwADMS
— Jeremy Burge 🐥🧿 (@jeremyburge) 1 de marzo de 2019
No solo para enviar publicidad, como ya sabemos desde hace meses, sino también para que otros usuarios nos busquen a través de esos números de móvil. El problema no es solo ese: el problema es que no podemos desactivar esa función.
Este usuario también alertaba de cómo esos números de teléfono móvil que usamos para el sistema de verificación o autenticación en dos pasos (2FA) también se han compartido con Instagram, y en WhatsApp, también propiedad de Facebook, también se intercambian esos datos (aunque podemos evitarlo).
My personal Instagram account isn't linked to my Facebook. But I am the admin of a page on Facebook which now *requires* 2FA and mobile phone numbers (as of 2018).
— Jeremy Burge 🐥🧿 (@jeremyburge) 1 de marzo de 2019
Here's Instagram ~days~ after giving my phone number to Facebook (for 2FA only) 👇 pic.twitter.com/ul9wXWMaoH
Este comportamiento del servicio de Facebook ha sido muy criticado por este y otros usuarios, que desaconsejan el uso del móvil para aprovechar sistemas de autenticación en dos pasos. Llevamos tiempo diciendo que los sistemas 2FA son una buena idea, pero utilizarlos vía el móvil con SMS no tanto: es mucho más recomendable utilizar aplicaciones separadas como Google Authenticator o Authy.
Expertos en seguridad como Zeynep Tufekci indicaban en Twitter cómo "usar la seguridad para debilitar aún más la privacidad es una mala medida, sobre todo teniendo en cuenta que los números de teléfono pueden recolectarse para debilitar la seguridad".
Oh, they kept the number even though I removed it from the 2FA settings. Sneaky fuckers pic.twitter.com/AP8Re0NgU3
— lee colleton (@sleepylemur) 4 de marzo de 2019
Para Tufecki ese problema se añade a esa falta de transparencia de Facebook, que no ha dado "ni una notificación de este cambio tan importante y arriesgado". Al intentar cambiar del sistema 2FA basado en tu número móvil a una aplicación de autenticación Facebook te deja que uses esas aplicaciones, pero no borrar tu número, como indicaba otro usuario en ese hilo de Twitter.
La única alternativa para los usuarios afectados es ir a sus opciones de privacidad y en el apartado "Cómo pueden encontrarte y ponerse en contacto contigo las personas" limitar el menú desplegable de "¿Quién puede buscarte con el número de teléfono que has proporcionado?" a la opción "Amigos".
Para Facebook todo parece normal
Un portavoz de Facebook, Jay Nancarrow, explicaba en TechCrunch que esas opciones "no son nuevas" y que "la configuración se aplica a cualquier número de teléfono que añadas al perfil, y no es específica de ninguna característica". En Xataka nos hemos puesto en contacto con los responsables de Facebook en España y nos han remitido la misma respuesta que a ese medio.
Aún así las protestas y críticas por esta forma de actuar han sido frecuentes, y en The Telegraph publicaban ya en 2016 una crítica sobre cómo Facebook acababa averiguando y usando nuestro número móvil de formas muy discutibles y que llevan en marcha desde mucho antes.
Ese número móvil que ahora sirve para que cualquiera nos encuentre en Facebook aun sin tener cuenta o ser nuestro contacto es también un valioso recurso para los anunciantes publicitarios. En Fast Company revelaban hace unos días cómo hay empresas dedicadas a vender esos datos y compartirlas con todo tipo de empresas.
Un usuario puede tratar de ponerse en contacto con esas empresas para que le borren de sus registros, pero solo en Estados Unidos esa investigación de este medio reveló que había 121 "brokers de datos" que operaban en el país para comprar y vender datos personales a empresas de todo tipo con fines publicitarios.