Facebook ofrece las listas de amigos como una manera opcional de organizar grupos de personas. Están pensadas para compartir contenidos con un público concreto. Así, cada vez que escribes una entrada o cuelgas una foto, puedes elegir con quién compartirlo, utilizando el selector de público. Por lo tanto, el objetivo final de esas listas es facilitar la difusión de contenidos por esa red social, no el mantener quiénes son sus miembros en privado. El sistema permite establecer la visibilidad de las listas de amigos a través de la función de editar privacidad. Allí se puede determinar quién puede ver tu lista de amigos. Las posibilidades son Pública, Amigos, Solo yo y Personalizado. Si seleccionas Solo yo, quizás pienses que vas a poder conservarla en privado, pero parece que no es así. Otros usuarios pueden ver parte de tu lista de amigos incluso en ese supuesto.
Es cierto que Facebook advierte claramente en ese apartado de editar privacidad que tus amigos controlan quién puede ver a sus amistades en su propia biografía. Si una persona puede ver a un amigo en otra biografía también podrá verlo en las búsquedas y en otros sitios de Facebook. Además, también será capaz de ver a los amigos mutuos en tu biografía. Ahí está la clave: “amigos mutuos”, es decir, aquellos que tú y la otra persona tenéis en común. La compañía define quiénes son esos amigos mutuos diciendo que son aquellas personas que son amigos de Facebook tanto contigo como con la persona cuya biografía estás consultado. Por ejemplo, si eres amigo de Chris, y Mark es amigo de Chris, entonces Chris aparecerá como amigo mutuo cuando estás viendo la biografía de Mark.
Para Facebook, básicamente, si dos usuarios tienen amigos comunes, esas personas se mostrarán como amigos mutuos, incluso si uno de ellos ha marcado su lista de amigos como privada (con la opción de Solo yo). Y ése es el punto flaco del sistema de privacidad de las listas de amigos, tal y como acaba de descubrir el grupo CyberInt, que está especializado en información sobre seguridad. Es la llamada vulnerabilidad del “Amigo mutuo”. Posibilita que los atacantes descubran, y pueden reconstruir, una lista de amigos que el usuario ha establecido como privada para que solo él pueda verla. Tirando del hilo de las personas que son amigas comunes dentro de esa red social prácticamente es posible recopilar la lista completa.
El grupo CyberInt ha comunicado a Facebook esta vulnerabilidad, y ésta es la respuesta recibida: “No consideramos que sea un problema de privacidad. Incluimos una explicación junto con la configuración de la visibilidad de la lista de amigos”. Por eso, CyberInt sugiere que esa red social debería cambiar el nombre del método denominado editar privacidad, por editar visibilidad.
Por su parte, en Mashable han comprobado los riesgos que presenta esa vulnerabilidad, y han sido capaces de reconstruir 248 amigos en Facebook del propio Presidente Mark Zuckerberg, incluso aunque éste tenga su lista de amigos configurada como privada.
