Los últimos 12 meses han sido negros para Facebook, que ha tenido que enfrentarse a un escándalo nuevo constantemente; desde la revelación de que empresas como Cambridge Analytica obtuvieron datos de usuarios sin su permiso, hasta ataques hackers o simples bugs, prácticamente cada semana la red social ha dado que hablar.

En este clima, tal vez en Facebook hubieran hecho bien en frenar un poco, en demostrar su apuesta por la privacidad del usuario. En vez de eso, la compañía ha seguido adelante con funciones que ahora vemos de manera diferente a hace un año; como por ejemplo, la última funcionalidad que algunos usuarios nuevos se han encontrado cuando estaban creando su cuenta en Facebook.

Facebook quiere la contraseña del correo electrónico que usas

Cuando creamos una cuenta en cualquier servicio, lo normal es incluir nuestra dirección de correo electrónico como un método de confirmar nuestra identidad; en ese caso, el servicio nos envía un e-mail con un botón para confirmar que realmente queremos usar esa dirección de correo para nuestra cuenta. Es un proceso ya muy común, y que Facebook también tiene, por supuesto.

La gran diferencia que se encontraron algunos usuarios es que, después de crear la cuenta, Facebook les pidió la contraseña de su correo electrónico; en efecto, no la contraseña de Facebook, sino la que usan en su servicio de correo. El mensaje de advertencia afirmaba que, para seguir usando Facebook, el usuario tenía que confirmar su correo electrónico; y que este proceso podía ser automático si el usuario sólo introducía su contraseña en un recuadro más abajo.

No todos los usuarios han recibido este cambio; sólo los que usan determinados clientes de correo, como Yandex (muy popular en Rusia) o GMX (popular en Alemania). Otros servicios más usados como Gmail no son compatibles, probablemente porque muchos usuarios tienen más seguridad gracias a la autenticación en dos pasos, que no es compatible con GMX, por ejemplo. Por lo tanto, Facebook sólo necesita la contraseña para entrar en nuestro correo.

Oficialmente, el motivo para pedir la contraseña es para comprobar qué correos hemos recibido, y si el correo de confirmación de Facebook nos ha llegado. De esa forma, Facebook sabe que esa es realmente nuestra dirección de correo y la puede confirmar. Tiene el beneficio de ser más sencillo para el usuario, que no tiene que entrar en su cliente para comprobar si el correo ha llegado.

Nunca des tu contraseña a nadie

Sin embargo, darle la contraseña de nuestro correo a cualquiera nunca es recomendable; ni aunque sea Facebook o cualquier otra compañía en la que confiemos. Expertos en seguridad han advertido de que esta nueva función puede popularizar una práctica muy insegura y hacer que los usuarios le den su contraseña a otros servicios sin darse cuenta del peligro.

No solo eso, sino que no es seguro que la propia Facebook esté usando nuestras contraseñas con buena fe. Según algunos usuarios, un mensaje de “Importando contactos” aparece durante el proceso, lo que indicaría que Facebook no solo estaría comprobando nuestros correos, sino también leyendo nuestra lista de contactos para añadirlos como amigos en la red social. Todo eso, sin avisar al usuario.

Pocas horas después de que esta novedad se hiciese pública, Facebook ha tenido que dar marcha atrás por las críticas. La compañía ha prometido que no guarda las contraseñas de los correos en sus servidores, y que sólo unos pocos usuarios han recibido esta opción. Pese a repetir que dar nuestra contraseña no era una obligación, Facebook admite que esta “no es la mejor manera” de hacer las cosas, así que dejará de ofrecer la opción de introducir la contraseña; aunque no ha aclarado cuándo se realizará el cambio.

Recordemos que no hace mucho que se reveló que Facebook guardó las contraseñas de sus usuarios en texto plano y a la vista de todos sus empleados; así que es comprensible que este nuevo intento de conseguir nuestras contraseñas no haya sido bien recibido.

Este es otro escándalo de privacidad que la compañía se podría haber ahorrado fácilmente. Sorprende que nadie en el equipo se diese cuenta de las implicaciones de dar nuestra contraseña de correo, o al menos, que la dirección no le hiciese caso.