En épocas de grandes acontecimientos políticos, como las recientes elecciones de mitad de mandato en EE.UU. y las presidenciales en Brasil, las plataformas de redes sociales suelen estar en el punto de mira por su falta de eficacia a la hora de combatir la desinformación. Sin embargo, aunque el debate suele centrarse en los mecanismos y procesos de las plataformas para luchar contra las noticias falsas, rara vez se habla de lo que ofrecen a sus usuarios, incluidos los políticos, para proteger sus cuentas y evitar cualquier campaña de desinformación.
Investigadores de Cerby, una empresa de seguridad estadounidense, analizaron los niveles de controles de seguridad que ofrecen cinco destacadas plataformas de redes sociales, Facebook e Instagram de Meta, Reddit, TikTok y Twitter, y publicaron sus conclusiones en un post el 10 de noviembre de 2022.
Facebook fue clasificada como la más segura de las cinco plataformas, con una puntuación global de 3,34 sobre 5, según la investigación de Cerby. Twitter quedó en segundo lugar con un 2,75 e Instagram en tercer lugar con un 2,68. TikTok recibió un 2,00 y Reddit fue considerada la plataforma más insegura, con la puntuación más baja de 1,95.
«El hecho de que Facebook esté a la cabeza en lo que respecta a los controles de seguridad se debe, sin duda, a que suele estar en el punto de mira. Demuestra que, desgraciadamente, hacen falta incidentes de privacidad/seguridad para que la mayoría de las grandes organizaciones realicen cambios significativos en su oferta», explica en una entrevista Matt Chiodi, director de confianza de Cerby.
Aplicaciones no gestionables
Para llegar a estas calificaciones, Cerby identificó cinco categorías (autenticación de dos factores, autenticación y autorización de nivel empresarial, control de acceso basado en roles, privacidad, seguridad preparada para la empresa y perfil de uso de cuentas) y dio a cada plataforma una puntuación de 0 a 5 para cada categoría – dando 0 cuando no hay soporte actual y no hay una hoja de ruta anunciada públicamente para ofrecerlo en el futuro; 1 cuando el soporte está en la hoja de ruta; y 2 a 5 dependiendo del nivel de soporte.
«Nuestra mayor conclusión es que las cinco plataformas de redes sociales carecen de opciones de autenticación de nivel empresarial, una categoría en la que ponemos un gran peso, lo que las hace caer en un tipo emergente de servicios que llamamos «aplicación no gestionable»», declaró Chiodi.
Cerby identifica la autenticación de grado empresarial como el soporte de los estándares de seguridad de inicio de sesión único (SSO) que permite a un usuario iniciar sesión con un único ID en cualquiera de los varios sistemas de software relacionados y los estándares de autorización para gestionar el acceso de un equipo de personas. Los proporcionan servicios como Okta, Auth0 o Microsoft Azure Active Directory.
Para medir esto, Cerby examinó si cada plataforma de medios sociales soportaba los estándares Security Assertion Markup Language (SAML) y OpenID Connect (OIDC) para el SSO y los estándares Open Authorization (OAuth) y System for Cross-domain Identity Management (SCIM) para la autorización de acceso.
«Descubrimos que ninguna de estas plataformas tenía suficiente soporte para ello y algunas no tenían soporte ni hoja de ruta pública», afirmó Chiodi. En esta categoría, que supuso el 25% de la puntuación final, Cerby dio una puntuación de 1 sobre 5 a todas las plataformas menos a Facebook, que recibió un 1,70.
TikTok y Reddit, los últimos de la clase
La otra categoría significativa fue la autenticación de dos factores (2FA), que representó el 30% de la calificación global.
Aquí, Cerby analizó si las cinco plataformas ofrecían opciones de 2FA y el nivel de seguridad en el que se basaban sus métodos de 2FA.
«Todas las plataformas admitían la 2FA basada en SMS, pero sólo le dimos un peso del 5% porque es la forma más débil de 2FA. Dimos más importancia a la contraseña de un solo uso basada en el tiempo (TOTP), un método más fuerte que utilizan servicios como Okta o Google Authenticator, y a los métodos sin contraseña que utilizan el estándar FIDO 2, que sólo admiten Facebook y Twitter», describió Chiodi.
En esta categoría, Facebook recibió un 5, Twitter un 4,70 e Instagram y Reddit recibieron un 3,25. Sólo TikTok no alcanzó una puntuación media de 1,75.
«TikTok obtuvo la puntuación más baja en casi todas las categorías», señala Chiodi.
Sin embargo, la puntuación global más baja fue para Reddit, que sufrió una puntuación de 0 en la categoría de control de acceso, que mide la granularidad que permite cada plataforma para gestionar el acceso de terceros a las aplicaciones de un usuario y que supuso el 10% de la puntuación global.
La firma de foros sociales desafió la investigación y dijo que Reddit es «una plataforma segura con políticas estrictas y aplicación contra la desinformación». Un portavoz de Reddit también dijo a Infosecurity que «esta investigación intenta analizar los controles de seguridad, no la desinformación, y no tiene en cuenta que Reddit se basa en el concepto de seudonimato, y que los usuarios en Reddit siguen a comunidades basadas en intereses y no a individuos específicos.»
Sin embargo, según Chiodi, estos fallos de seguridad tienen un impacto tangible en el riesgo de desinformación. «En 2020, fueron hackeadas destacadas cuentas de Twitter, como la del presidente Barack Obama, la de Kanye West, la de Michael Bloomberg y la de Warren Buffet. Estas cuentas, con una audiencia colectiva de 250 millones de personas, instaron repentinamente a sus seguidores a comprar Bitcoin. ¡Y resultó que los delincuentes eran adolescentes! ¿Y si, por el contrario, fueran actores de un Estado-nación que intentan propagar desinformación?». se pregunta Chiodi.
«Esta falta de controles de seguridad en servicios de uso tan global no es infrecuente: a principios de este año descubrimos que el 61% de las 10.00 principales aplicaciones en la nube carecen de soporte para las opciones de grado empresarial que analizamos, por ejemplo. Pero es una parodia para los líderes políticos y las empresas de todo el mundo que dependen de ellos para hablar con los consumidores. Les deja expuestos a ataques de reutilización de credenciales», añade.
Basándose en los resultados, los investigadores de Cerby recomiendan que los políticos y las empresas centren sus esfuerzos en plataformas maduras con una puntuación de al menos 2,6 o superior.
Fuente WEB | Editado por CambioDigital OnLine