Hace dos años que Facebook permite establecer conexiones seguras HTTPS como una opción para proteger la información que se envía cuando se está haciendo uso de redes menos seguras, como las de un cibercafé. Los detalles de acceso siempre se han enviado a través de HTTPS, pero antes cualquiera con conocimientos suficientes podía interceptar el tráfico enviado a través de una red una vez establecida la conexión.
Entre abril de 2011 y finales de 2012, sólo el 35% de los usuarios habían optado por esta opción más segura, de forma que la red social optó por establecer HTTPS por defecto –como ya han hecho empresas como Google o Twitter, y así el el tráfico entre el navegador del usuario y los servidores de la compañía permanece cifrado.
Fue en noviembre cuando se inició el cambio y ha sido esta semana cuando Scott Renfro, del equipo de seguridad de infraestructura de Facebook publicó un post en el que daba por terminado el proceso, al menos en lo que se refiere al acceso desde ordenadores.
“Ahora que https está activado de forma predeterminada, prácticamente todo el tráfico a www.facebook.com y el 80% a m.facebook.com utiliza una conexión segura”, ha dicho Renfro. Se quedan fuera, por tanto, un 20% de usuarios móviles porque algunos terminales u operadoras no soportan este protocolo de seguridad.
En un futuro cercano, probablemente para el próximo otoño, Facebook reforzará aún más la seguridad, pasando de utilizar claves de cifrado de 1024-bit a otras de 2048-bit. Destacar en este sentido que Google también está adoptando claves de 2048-bit para sus certificados SSL.
Comentar por último que aunque HTPPS es muy útil para evitar que el contenido transmitido sea interceptado, pero no impide la vigilancia en el servidor de destino después de que dicho contenido se ha descifrado.