David Thacker, vicepresidente de Gestión de Producto en G Suite, acaba de anunciar el descubrimiento de un nuevo error de seguridad que ha afectado aproximadamente a 52.5 millones de usuarios, lo que ha provocado el cierre acelerado de todas las API de Google+.
Hay que recordar que el cierre de la plataforma ocurriría en agosto de 2019, pero la brecha ha obligado a la compañía a adelantarlo cuatro meses, es decir, será en abril del próximo año. “Si bien reconocemos que hay implicaciones para los desarrolladores, queremos garantizar la protección de nuestros usuarios”.
En octubre de este año se anunció que Google estaría acelerando la versión para el consumidor de Google+ y sus API debido a los importantes desafíos que implicaba mantener un producto exitoso que cumpliera con las expectativas de los usuarios, así como el bajo uso de la plataforma.
Recientemente la compañía ha detectado que más de 50 millones de usuarios se vieron afectados por una actualización de software introducida en noviembre, que contenía un error que afectaba a la API de Google+.
“Descubrimos este error como parte de nuestros procedimientos de prueba estándar y en curso y lo arreglamos dentro de una semana de su introducción. Ningún tercero comprometió nuestros sistemas y no tenemos evidencia de que los desarrolladores de aplicaciones, que tuvieron este acceso inadvertidamente durante seis días, lo supieron o lo usaron mal de alguna manera”, ha explicado Thacker.
En una publicación de blog también ha indicado que las pruebas revelaron que una API de Google+ no estaba funcionando como se esperaba, es por eso que arreglaron rápidamente el error de seguridad y comenzaron una investigación sobre el problema. Aunque la investigación sobre el impacto del error está en curso, Google ya tiene algunas conclusiones.
Además de confirmar que el error afectó al citado número de usuarios en conexión con una API de Google+, las aplicaciones que solicitaron permiso para ver la información del perfil que un usuario había agregado a Google+, como su nombre, correo electrónico, ocupación y edad, entre otras, recibieron permiso para ver la información del perfil de ese usuario incluso cuando se establece en no público.
Las aplicaciones con acceso a los datos del perfil de Google+ de un usuario también tuvieron acceso a los datos del perfil que otro usuario de Google+ había compartido con el usuario que consintió, pero no se compartió públicamente.
David Thacker ha añadido que el error de seguridad no les dio a los desarrolladores el acceso a información como datos financieros, números de identificación nacional, contraseñas o datos similares que se usan normalmente para el fraude o el robo de identidad.
“Hemos iniciado el proceso de notificación a los usuarios, consumidores y clientes empresariales que se vieron afectados por este error. Nuestra investigación está en curso en cuanto a cualquier impacto potencial a otras API de Google+”.
Medidas a tomar por parte de Google
En la publicación se ha destacado que en los próximos 90 días descubrirán todas las API de Google+ y que los desarrolladores pueden esperar para saber más sobre este error de seguridad en los próximos días, al tiempo que pueden mantenerse informados al continuar revisando la página de desarrolladores de Google+.
La compañía también ha decidido dar a los usuarios la oportunidad de hacer una transición de Google+ para consumidores y durante los próximos meses continuará brindando información adicional a los usuarios, incluyendo formas en que pueden descargar y migrar sus datos de forma segura.
En cuanto a los clientes empresariales de Google+, David Thacker ha dejado claro que se encuentran en el proceso de notificar a cualquiera de éstos que se haya visto afectado por el error. “Se está enviando una lista de los usuarios afectados en esos dominios a los administradores del sistema y nos pondremos en contacto de nuevo si se descubren nuevos usuarios afectados o problemas”.
Además ha sido enfático en señalar que los administradores de G Suite siempre tienen el control de las aplicaciones de sus usuarios, lo que garantiza que los clientes puedan dar acceso sólo a las aplicaciones que han sido examinadas y en las que su organización confía. También ha querido reiterar que en la compañía continuarán invirtiendo en Google+ para empresas, tal como ha sido anunciado en octubre.
Seguridad en Google
Thacker ha dicho que en Google entienden que la capacidad para crear productos confiables, que protejan los datos, impulsa la confianza del usuario. Es por eso que, según el Ejecutivo, siempre se han tomado este aspecto muy en serio y continúan invirtiendo en sus programas de privacidad.
El objetivo no es otro que refinar los procesos internos de revisión de la privacidad, crear controles de datos poderosos y colaborar con los usuarios, investigadores y responsables políticos para obtener sus comentarios y mejorar sus programas.
Ha expresado que nunca se detendrá el trabajo de Google para crear protecciones de privacidad que funcionen para todos.