Los escándalos de Facebook ya vienen en parejas. No hace mucho hablábamos de un “experimento” iniciado por la red social para obtener la contraseña de nuestro correo electrónico; una práctica muy peligrosa y que puede abrir la puerta a potenciales atacantes. Lo que no nos esperábamos (o tal vez sí) es que Facebook fuese también a hacer el papel de atacante.

Esta funcionalidad en teoría estaba pensada para facilitar el proceso de crear una nueva cuenta. Facebook, como muchas otras webs, nos envía un correo electrónico a nuestra dirección para comprobar que, en efecto, es nuestra; normalmente ese correo incluye un enlace que tenemos que pulsar para indicar que realmente queremos crear una cuenta con ese correo.

Direcciones de correo robadas por Facebook

La nueva función nos permitía meter la contraseña de nuestro servicio de correo para que Facebook comprobase automáticamente si nos había llegado su correo. Pero eso no es todo lo que hacía. Ya en su día informamos de que algunos usuarios vieron un mensaje de que sus contactos habían sido exportados a Facebook; pero no estaba claro de si realmente lo hacía.

CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 75

Hoy se han acabado todas las dudas. Una exclusiva de Business Insider ha revelado que, en efecto, Facebook consiguió las direcciones de correo de los contactos de algunos usuarios sin su permiso. En concreto, Facebook obtuvo las agendas de 1,5 millones de usuarios de la red social; por lo tanto, se calcula que la cantidad de direcciones de correo obtenidas por este método está entre las docenas y cientos de millones de correos.

Esta recopilación de direcciones se llevaba realizando desde mayo de 2016; y terminó cuando la función de pedir contraseña se hizo pública, este mismo mayo de 2019. Durante estos tres años, la compañía obtuvo una gran cantidad de direcciones de correo, y sobre todo, asociadas con usuarios que ya estaban en la red social. Este tipo de información puede usarse, por ejemplo, para sugerir usuarios que seguir en Facebook o para conocer mejor nuestras relaciones con otros usuarios.

Facebook habría obtenido esas direcciones “sin querer”

Facebook ha respondido a este nuevo escándalo afirmando que obtuvo todas esas direcciones “involuntariamente”, y que no las compartió con nadie. También ha aclarado que no obtuvo acceso al contenido de los correos de los usuarios. Facebook ha explicado que el fallo estuvo en que, antes de mayo de 2016, la función permitía importar nuestra agenda de correos con nuestro permiso.

facebook contrasena

Después de un cambio en la función, a los desarrolladores se les habría olvidado quitar la funcionalidad, aunque sí que quitaron el texto que informaba a los usuarios de lo que estaba haciendo.

La compañía ha prometido que borrará las direcciones de correo obtenidas por este método, y que contactará con los 1,5 millones de usuarios de los que obtuvo las direcciones; los propietarios de las direcciones no serán notificados.