Alphabet cierra Google+ tras mantener oculta varios meses una brecha de seguridad

En 2015, la red social Google+ comenzó a sufrir una brecha de seguridad que afectó a medio millón de usuarios y que no se descubrió y reparó hasta hace unos meses, en marzo de 2018. Por culpa de esta brecha, durante unos tres años, sus usuarios quedaron expuestos a desarrolladores externos a través de un bug en las APIs de la red. Como consecuencia, sus nombres, direcciones de correo electrónico, profesión género y edad quedaron a la vista de estos desarrolladores, tal como apuntan nuestros compañeros de MuySeguridad.

Se calcula que unas 438 aplicaciones han tenido acceso a información de los usuarios de la red por culpa de esta brecha, de la que Google, tomando una sorprendente medida, decidió no informar cuando la descubrió a través de su nuevo programa de auditoria Project Strobe y la reparó. Y ahora, tras hacerse pública, Alphabet ha tomado la decisión de cerrar Google+ al público. Los de Mountain View admiten lo que para muchos era un secreto a voces: que la red nunca consiguió despegar.

La brecha, no obstante, no ha sido desvelada por la compañía, sino por el Wall Street Journal.Transcurridas unas horas, en Google publicaron un post en su blog oficial, en principio sobre Project Strobe pero en el que también se informaba del problema y el cierre. En él se ofrecen todos los detalles sobre la brecha y las acciones tomadas para mitigarla, tanto en el pasado como en el futuro.

Entre ellas, el mencionado cierre de la red, que Google admite que «no ha conseguido una adopción amplia en el mercado de consumo ni entre los desarrolladores, y ya registrado una interacción limitada con las apps por parte de los usuarios. En la actualidad, la versión de consumo de Google+ tiene un uso y una interacción muy bajos: el 90% de las sesiones de usuario de Google+ dura menos de cinco segundo«.

Eso sí, el cierre de la red no va a ser ni inmediato ni completo. Para empezar, la versión de consumo de Google + irá poco a poco cesando su actividad hasta que eche el cierre definitivo dentro de 10 meses. Dejará de funcionar hacia finales de agosto de 2019. La compañía informará en las próximas semanas a sus usuarios de cómo podrán descargar y migrar la información que tengan en la red.

Google+ pasará a partir de ahora a ser un servicio sólo para empresas, a pesar de que el incidente que ha sufrido no ayuda a generar confianza precisamente entre las empresas. Pero en Alphabet están convencidos de la toma de esta medida.

Google, que informará de cómo será esta nueva versión de la red en las próximas semanas, ha alegado para este movimiento que tienen «muchos clientes de empresa que encuentran mucho valor en el uso de Google+ dentro de su compañía«. Además, apuntan a que el repaso que han hecho de lo que sucede en Google+ les ha hecho convencerse de que «está mucho mejor como producto de empresa, donde los compañeros de trabajo pueden interactuar en discusiones internas en una red social corporativa segura. Los clientes de empresa pueden configurar reglas de acceso comunes y utilizar controles centralizados para toda la organización«.

Cambios en permisos y límites a las APIs

Por otra parte, los de Mountain View han tomado también la decisión de hacer varios cambios para responder a la preocupación por la seguridad que pueden tener sus usuarios tras esta brecha. Para empezar, van a ofrecer un control más granular de los permisos de las cuentas de Google. Así, «en lugar de ver todos los permisos solicitados en una única ventana, las apps tendrán que mostrar todos los permisos solicitados, de uno en uno, en su propia ventana de diálogo. Por ejemplo, si un desarrollador solicita acceso a las entradas del calendario y los documentos de Drive, se podrá seleccionar compartir uno solo de los dos elementos«.

Además, se va a limitar el acceso a la API de Gmail a las apps que mejoren de manera directa las funciones del correo electrónico. Se van a poner en marcha también nuevas reglas para la gestión de datos. También se llevará a acabo un asesoramiento de seguridad más riguroso.

Por otra parte, Google también va a poner límites a la capacidad de las apps de recibir el listado de llamadas y los permisos de SMS en dispositivos con Android. Y la API Android Contact ya no dará acceso a los datos de interacción con los contactos.

Por lo tanto, «de ahora en adelante, Google Play limitará que apps pueden permisos para acceder al teléfono de un usuario y a los datos de SMS. Sólo una app elegida por ti como la aplicación por defecto para hacer llamadas o mensajes de texto podrá hacer estas peticiones. Habrá algunas excepciones, como el buzón de voz y las apps de copia de seguridad. Los desarrolladores encontrarán más información en el Centro de Políticas de Desarrolladores de Google Play. Además, como parte de los permisos de Android Contacts, hemos proporcionado datos básicos de interacción. Así, una app de mensajería podría mostrarte tus contactos más recientes. En los próximos meses eliminaremos el acceso a los datos de interacción de la API de Contactos de Android«.