Brecha de seguridad provoca el cierre de Google+

20

“Estamos cerrando Google+ para los consumidores”. Así ha anunciado Google el cierre de uno de sus productos que prometía convertirse en la red social competencia de sus similares Facebook, Twitter o Instagram. Al gigante de internet no le quedó otra opción tras confirmar que alrededor de 500 mil cuentas de Google+ se vieron potencialmente afectadas por un error de seguridad .

Este ha sido el resultado de un esfuerzo llamado Proyecto Strobe , ejecutado por el gigante de internet desde principios de este año para revisar de raíz el acceso de desarrolladores externos a la cuenta de Google y los datos del dispositivo Android.

Fue así como se analizó el funcionamiento de sus controles de privacidad, “las plataformas donde los usuarios no estaban comprometidos con nuestras API debido a las preocupaciones sobre la privacidad de los datos, las áreas donde a los desarrolladores se les podría haber otorgado un acceso demasiado amplio y otras áreas en las que nuestras políticas deberían ajustarse”.

La evaluación ha revelado que “existen importantes desafíos para crear y mantener un producto de Google+ exitoso que cumpla con las expectativas de los consumidores” y por eso se ha tomado la decisión de acabarlo en un plazo de 10 meses.

El Proyecto Strobe revisó de cerca todas las API (Interfaz de Programación de Aplicaciones) asociadas con Google+ y ha visto una interacción limitada de los usuarios con las aplicaciones. “La versión para el consumidor de Google+ actualmente tiene poco uso y compromiso: el 90% de las sesiones de usuario de Google+ son menos de cinco segundos”.

Además descubrió que un error en una de las API de personas de Google+: “Los usuarios pueden otorgar acceso a sus datos de perfil y la información pública de perfil de sus amigos a las aplicaciones de Google+ a través de la API”.

Este error significaba que las aplicaciones también tenían acceso a los campos de perfil que se compartían con el usuario, pero que no estaban marcados como públicos: nombre, dirección de correo electrónico, ocupación, género y la edad.

“No incluye ningún otro dato que haya publicado o conectado a Google+ o cualquier otro servicio, como publicaciones de Google+, mensajes, datos de cuentas de Google, números de teléfono o contenido de G Suite”, ha publicado la compañía en su blog. ​

Se ha explicado que el error de seguridad fue descubierto e inmediatamente solucionado en marzo de 2018, pero la empresa del buscador más popular lo mantuvo en silencio hasta ahora. Además se cree que pudo ocurrir “después del lanzamiento como resultado de la interacción de la API con un cambio posterior en el código de Google+”.

Usuarios afectados de Google+

“Hicimos Google+ teniendo en cuenta la privacidad y, por lo tanto, mantenemos los datos de registro de esta API durante sólo dos semanas. Eso significa que no podemos confirmar a los usuarios afectados por este error”.

A pesar de eso, el Proyecto Strobe realizó un análisis detallado durante las dos semanas previas a parchear el error y, como resultado, los perfiles de hasta 500 mil cuentas de Google+ “se vieron potencialmente afectados”. La revisión también mostró que hasta 438 aplicaciones pudieron haber utilizado esta API.

“No encontramos evidencia de que ningún desarrollador estuviera al tanto de este error, o de abusar de la API, y no encontramos evidencia de que los datos del perfil hayan sido mal utilizados”, ha pntualizado la empresa en el comunicado.

La Oficina de Privacidad y Protección de Datos revisó este problema, analizó el tipo de datos involucrados y si además podían identificar con precisión a los usuarios para informarles del error. Tomó en cuenta si existía alguna evidencia de uso incorrecto o si se cristalizó alguna acción que un desarrollador o usuariopudiera tomar en respuesta, pero, “ninguno de estos  ninguno de estos umbrales se cumplió en este caso”.

Y es que desde Google se ha dejado claro que anualmente envían millones de notificaciones a los usuarios sobre los problemas de privacidad y seguridad , siempre que los datos de los usuarios se ayan visto afectados, para ir más allá de sus requisitos legales; así aplican varios criterios centrados en los usuarios para determinar si se debe notificar o no.

“La revisión resaltó los desafíos significativos para crear y mantener un Google+ exitoso que cumpla con las expectativas de los consumidores. Dados estos desafíos y el uso muy bajo de la versión para consumidores de Google+, decidimos probar la versión para consumidores de Google+”.

Google implementará esta reducción en un período de 10 meses para brindar a las personas la oportunidad de realizar la transición, cuya finalización está programada para fines de agosto. Durante los próximos meses, proporcionarán información adicional a los consumidores, incluyendo las formas en que puedenmbrales se cumplió en este caso”.

“Nuestra revisión mostró que Google+ se adapta mejor como un producto empresarial donde los compañeros de trabajo pueden participar en discusiones​  internas en una red social corporativa segura. Los clientes empresariales pueden establecer reglas de acceso comunes y utilizar controles centrales para toda su organización”.

Bajo esa premisa, la compañía ha decidido centrarse en sus esfuerzos empresariales y por eso anzarán nuevas características diseñadas específicamente para empresas. “Vamos a compartir más información en los próximos días”, se especificó en el blog.