Lee detenidamente esta frase:

“Por defecto, cualquier usuario de Facebook puede acceder a los álbumes de fotos de cualquier otro usuario, aunque no sean amigos ni tengan amigos en común.”

Sí, es muy probable que después de leer este artículo puedas acceder a las fotos de ese jefe que te cae mal, o a las fotos de tu exnovio o exnovia, o por qué no, a las fotos de la ministra xD. Y todo ello sin tener que agregarlos como amigos.

Vayamos por partes.

1. Cómo ver las fotos de un no-amigo en facebook.

  1. Iniciamos sesión en www.facebook.com
  2. Buscamos a la persona que nos interesa pero que no es amiga nuestra. Pinchamos en su nombre.
  3. Desde el perfil público de dicha persona, nos situamos sobre el link “Añadir como amigo” (sin pinchar). Dicho enlace será de la forma http://www.facebook.com/addfriend.php?id=XXXXXXX, donde XXXXXXX es el identificador de esa persona. Nos apuntamos ese identificador.
  4. Sin cerrar la sesión de facebook, visitamos http://developers.facebook.com/tools.php?api
  5. Rellenamos los campos del formulario de la siguiente forma:
    • Aplicación: Test Console (este campo no sale siempre).
    • Formato de respuesta: Cliente PHP de Facebook.
    • En el siguiente desplegable elige: fql.query
    • Query (sustituyendo XXXXXXX por el identificador del paso 3):
      SELECT name, link
      FROM album
      WHERE owner=XXXXXXX
  6. Pulsa el botón. Si esa persona tiene álbumes de fotos y no ha cambiado la privacidad por defecto, a la derecha aparecerán los links a dichos álbumes. Abre otra pestaña en tu navegador web y prueba esos enlaces. Podrás ver sus fotos sin restricción.

Una imagen del formulario anterior rellenado correctamente:
facebook formulario API

2. Explicación.

Lo que acabas de leer no es un fallo en la seguridad de facebook. Por defecto, todos los álbumes que creemos en facebook serán visibles para todos los usuarios, aunque no sean amigos nuestros, ni tengamos amigos en común.

Desde la página web de facebook (facebook.com), un desconocido no puede conocer los links de nuestros álbumes (a menos que en el perfil público pongamos nuestras fotos, cosa que nadie debería hacer). Pero desde la web para desarrolladores de facebook (http://developers.facebook.com/tools.php?api) hemos visto que se pueden hacer consultas directamente al sistema, y podemos obtener los links de los álbumes, siempre que estos tengan la privacidad por defecto, que es “visibles a todos”.

3. Cómo evitar que un desconocido vea mis fotos de facebook.

La solución es simple. Leyendo despacito todos los mensajes que aparecen en pantalla (cosa que a veces no hacemos :().

Cuando se va a crear un nuevo álbum de fotos, facebook muestra esta ventana:

facebook crear álbum

Como se observa en la imagen, el último campo del formulario pregunta “¿Quién puede ser este álbum?”, y la respuesta marcada por defecto es “todos”.

Cambia la configuración de todos tus álbumes para que su privacidad sea “Sólo amigos” o “Amigos de amigos”. Para los álbumes ya creados, esto se hace visitando tu perfil, pinchando en la pestaña “fotos”, y en la parte inferior aparecen los álbumes. Justo arriba de los álbumes está el link “Privacidad del álbum”. Desde ese enlace se puede cambiar la privacidad de tus álbumes.

4. Para terminar…

Si me conoces en persona, quizás sepas que he hecho algunas aplicaciones para Facebook. A algunos de vosotros os he comentado la enorme potencia que tienen estas aplicaciones, y la cantidad de información a la que puede acceder una aplicación de Facebook cuando el usuario la utiliza por primera vez y pincha en “Permitir”.

Por suerte, en Facebook se toman en serio lo de la privacidad, y nos permiten restringir el acceso de las aplicaciones a nuestros datos. Podemos restringir el acceso de forma general para todas las aplicaciones, en lugar de hacerlo una por una. Para ello, hay que ir a “Configuración | configuración de privacidad | Aplicaciones | Configuración”. Se debería llegar a una página como ésta:

facebook configurar acceso información aplicaciones

Tal y como se observa en la imagen, cada vez que pulsamos en “Permitir” al acceder por primera vez a una aplicación estamos: dándole acceso a nuestras fotos, a nuestro muro, a nuestras notas, a nuestro estado sentimental, a nuestra lista de amigos, entre otras muchas cosas.

Como conclusión: presta mucha atención a tu privacidad en las redes sociales, y antes de “Permitir” una nueva aplicación de Facebook, piensa si estarías dispuesto a agregar como amigo a su creador, o restringe mucho la información a la que tienen acceso estas aplicaciones.

El truco lo vi en carlosleopoldo.com.