Cómo evitar que te roben la cuenta de Facebook y cómo cerrarla a distancia

En las últimas semanas he detectado un fuerte incremento en el número de intentos de robar (o, al menos, secuestrar) mi cuenta de Facebook.

He recibido de diferentes amigos reales de Facebook (ya se lo he notificado) varios mensajes privados (en algunos casos incluso en un chat colectivo) con un enlace más que sospechoso. Al hacer clic en él, tomando las máximas precauciones, ya que me imaginaba que era malicioso, aparece una pantalla que es exactamente idéntica (una vez incluso en español, en los demás estaba en inglés) a la de inicio de sesión de Facebook y donde se me pide el usuario y contraseña que jamás hay que facilitar.

Si introdujese esta información, iría a parar a manos de no se sabe quién (pero, desde luego, es alguien sin buenas intenciones), que probablemente la usará para acceder a la cuenta e invitar a nuestros amigos a que visiten ese enlace malicioso, y así sucesivamente. Podrían incluso cambiar la clave y el correo electrónico, dejando al legítimo propietario sin su cuenta de Facebook, con el correspondiente peligro de que puedan publicar en su nombre cualquier cosa, no solo en el perfil sino en los grupos o incluso fanpages que administre, quitando el acceso a otros administradores… Un auténtico desastre. En este caso, se puede intentar recuperar a través de este enlace de Facebook: Cuentas pirateadas.

Phishing en Facebook

Por lógica, si tengo la sesión iniciada en Facebook, no tiene ningún sentido que me vuelva a pedir estos datos de acceso. Este tipo de ataques son los que se denominan phishing (es decir, intentar suplantar una página para obtener los datos de inicio de sesión). Hay que fijarse siempre en la dirección de la página que se está visitando y asegurarse que es del dominio facebook.com. Lo que ocurre es que si se accede desde una app para móviles o tabletas, este enlace no siempre es visible y de eso se aprovechan los malhechores.

Cómo evitar el robo de la cuenta de Faceook

Para impedir que se hagan con el control de la cuenta, incluso teniendo el usuario y clave, es necesario activar la autenticación en dos pasos. De esta manera, cada vez que se inicie sesión en un ordenador o dispositivo nuevo, pedirá una clave adicional que llegará en forma de SMS o se podrá extraer de un generador de claves. Para activar esta configuración, hay que ir a: Configuración (en el menú que se despliega en el último elemento de la barra de navegación superior azul) y luego “Seguridad”. El enlace es https://www.facebook.com/settings?tab=security.

Configuración de seguridad de Facebook

En ese apartado es recomendable activar las notificaciones de inicio de sesión para que Facebook avise (mediante un correo electrónico, SMS o notificación push) cada vez que se inicia sesión desde un nuevo ordenador o dispositivo.

Notificaciones de inicio de sesion en Facebook

Para activar la autenticación en dos pasos, hay que acceder al apartado “Aprobaciones de inicio de sesión”. El sistema envía un SMS al teléfono que consta en la base de datos de Facebook (se puede cambiar) para comprobar que el usuario puede recibir sin problemas y que el número es el correcto. En este mensaje figura un código que se debe introducir, activando este sistema de seguridad adicional. Es muy sencillo.

Activación de la verificación en dos pasos de Facebook

Cada vez que se use un nuevo navegador para entrar en Facebook, el sistema pide una clave, que puede obtenerse de diferentes maneras (da igual la que se utilice):

• Por SMS
• A través del generador de claves que se encuentra en la app de Facebook en el Smartphone, en el apartado de menú

Generador de códigos en la app de Facebook

•  Usando otro dispositivo, por ejemplo el móvil (llega una notificación a Facebook)

Autorizar el inicio de sesión en Facebook vía app

•  Utilizando contraseñas de aplicación. La aprobación de inicio de sesión no siempre funcionará cuando se intenta acceder a aplicaciones en las que se entra con la cuenta de Facebook, tales como:
  • Xbox
  • Spotify
  • Skype
  • …
    Para estos casos, desde la página de Facebook de seguridad (“Contraseñas de aplicación” https://www.facebook.com/settings?tab=security&section=per_app_passwords&view) se pueden generar claves que introducir.

Generador de códigos y opciones de inicio de sesión

Una vez concedido el acceso, se puede definir si el navegador o dispositivo quedará como autorizado en el futuro o no.

¿Es un dispositivo de confianza? ¿Volverá a preguntar un código en el futuro?

Este sistema es mucho más seguro, ya que aunque se conozca el usuario y la clave, no se podrá acceder a la cuenta si no se dispone además del móvil del propietario u otros equipos con acceso.

En el apartado de “navegadores de confianza” se pueden cuáles y desde cuándo están autorizados. Desde ahí se puede revocar el acceso.

Cómo cerrar la sesión de Facebook a distancia

Si ya no tenemos acceso a algún dispositivo o navegador en el que se ha iniciado sesión y no queremos que nadie más lo pueda usar, es posible finalizar la actividad. Para ello no hay más que ir al apartado “Dónde has iniciado sesión” dentro de la configuración de seguridad https://www.facebook.com/settings?tab=security&section=sessions&view y cerrar la sesión deseada haciendo clic en «Finalizar actividad».

Sesiones actuales de Facebook

Conclusión

La seguridad de la cuenta de Facebook se ve notablemente reforzada si se activa este sistema de validación en dos pasos. Es cierto que Facebook también avisa si detecta un inicio de sesión sospechoso desde una nueva ubicación que está muy lejos de donde solemos estar, pero creo que conviene siempre extremar las precauciones, sobre todo si además del perfil, hay una o varias fanpages asociadas. Todas estas claves adicionales son engorrosas pero personalmente creo que valen el esfuerzo por la seguridad adicional que aportan.