Fin del soporte directo para Facebook debido a exigencias de seguridad
Tras nuestros desafíos recientes con los cambios en la API de Google, estamos enfrentando una situación similar con Facebook. A pesar de haber aprobado con éxito las auditorías anuales de seguridad de Facebook durante años, sus requisitos de 2025 introdujeron exigencias que son incompatibles con los entornos de trabajo distribuidos modernos y, francamente, contraproducentes para la seguridad real. Como resultado, ya no podemos mantener la app OAuth de Facebook de Transloadit, aunque los clientes aún pueden usar la integración con sus propias credenciales.
¿Qué pasó?
Cada año, Facebook realiza auditorías de seguridad para las apps que se integran con su plataforma. Hemos aprobado estas auditorías de forma constante demostrando nuestras prácticas de seguridad robustas. Este año, sin embargo, Facebook agregó un requisito que malinterpreta de forma fundamental cómo operan las empresas tecnológicas modernas: ahora exige que instalemos software antivirus en todas las estaciones de trabajo y distribuyamos actualizaciones de definiciones desde un servidor central.
Por qué esto no funciona para nosotros (ni para muchas empresas modernas)
Primero, está la realidad de una fuerza laboral distribuida. Transloadit opera con un equipo de freelancers calificados que trabajan exclusivamente en sus propios dispositivos; en nuestro caso, MacBooks. Estas son máquinas personales, no hardware propiedad de la empresa. Instalar software de administración centralizada en dispositivos personales violaría leyes de privacidad en varias jurisdicciones, requeriría un nivel de control del dispositivo que no es apropiado para relaciones con contratistas y crearía vulnerabilidades de seguridad al otorgarnos acceso de nivel root a máquinas personales.
La exigencia reciente de Facebook también va en contra de la arquitectura de seguridad moderna. Nuestro modelo de seguridad sigue principios zero-trust. Esto significa que asumimos que todos los endpoints podrían estar comprometidos y aplicamos la seguridad a nivel de servidor/API, donde realmente fluyen los datos. Esto es más seguro que depender de antivirus en endpoints, que puede dar una falsa sensación de seguridad.
Por último, hay consideraciones específicas de la plataforma que se deben tener en cuenta, algo que Facebook no logra hacer con su nuevo requisito. Todos los miembros de nuestro equipo usan macOS, que incluye XProtect: el sistema antivirus integrado de Apple, que se actualiza automáticamente. Instalar software antivirus de terceros con acceso a nivel de kernel encima de eso en realidad disminuiría la seguridad al introducir superficies de ataque adicionales.
Qué hacemos en su lugar
Aunque no enviaremos de forma centralizada actualizaciones de antivirus a los dispositivos macOS personales de freelancers, mantenemos la seguridad mediante:
-
Obligaciones contractuales: todos los miembros de nuestro equipo firman acuerdos que exigen:
- Actualizaciones automáticas habilitadas en el sistema operativo y software crítico
- Cifrado de disco completo
- Autenticación de dos factores en todos los servicios críticos
- Capacitación regular en seguridad
-
Protección del lado del servidor: donde realmente fluyen los datos de Facebook, mantenemos:
- Escaneo con ClamAV en archivos entrantes
- Actualizaciones automáticas diarias del sistema operativo y de seguridad
- Logging y monitoreo completos
- Auditorías de seguridad por terceros
- Pruebas de penetración continuas
-
Aislamiento de infraestructura: los sistemas de producción están completamente aislados de las estaciones de trabajo de desarrolladores, con acceso controlado mediante llaves SSH y allowlisting de IP.
El agotador ida y vuelta
A pesar de proporcionar evidencia extensa de nuestras prácticas de seguridad y detallar por qué la administración centralizada de endpoints es tanto imposible como innecesaria para nuestro modelo distribuido de contratistas, el proceso de revisión de Facebook se mantuvo inflexible. Proporcionamos:
- Capturas de pantalla de nuestros sistemas automatizados de actualización de servidores
- Logs que prueban actualizaciones de seguridad diarias en producción
- Evidencia de ClamAV ejecutándose en todos los servidores que procesan datos de usuarios
- Documentación de nuestros requisitos contractuales de seguridad
- Prueba de que ejecutamos más de 52,000 escaneos antivirus en un período de 48 horas
Aun así, las respuestas seguían exigiendo “una consola centralizada desde donde se envíen actualizaciones de macOS a todos los dispositivos de usuarios”. Este es un requisito francamente absurdo que sirve principalmente para demostrar una desconexión fundamental entre el IT empresarial y la forma en que realmente operan los equipos distribuidos modernos.
Tomar una decisión difícil
Después de meses de ida y vuelta, quedó claro que el proceso de evaluación de seguridad de Facebook está diseñado para empresas tradicionales con hardware propiedad de la compañía y departamentos de IT centralizados. No se adapta a acuerdos de trabajo distribuido modernos, equipos basados en contratistas, arquitecturas de seguridad zero-trust ni a las realidades legales de administrar dispositivos personales.
Seguir peleando esto requeriría recursos que simplemente no tenemos como empresa pequeña enfocada en crear excelentes experiencias de subida de archivos. Más importante aún, cumplir con estos requisitos en realidad reduciría nuestra postura de seguridad al obligarnos a instalar software innecesario con acceso profundo al sistema en máquinas que no son nuestras.
Impacto en nuestros clientes
Lamentamos mucho los inconvenientes que esto causa. Sabemos que muchos de ustedes dependen de la integración con Facebook para sus aplicaciones, y que cambios incompatibles como este son frustrantes. Hemos hecho nuestro mejor esfuerzo para mantener esta integración, pero no estamos dispuestos a sostener un teatro de seguridad que pondría en riesgo los dispositivos personales de los miembros de nuestro equipo. Esperamos que Facebook finalmente reconsidere su postura, pero no nos hacemos ilusiones.
El camino a seguir: usa tus propias credenciales
La buena noticia es que la integración con Facebook en Uppy sigue siendo totalmente funcional. Puedes seguir usándola mediante:
- Crear tu propia app de Facebook en developers.facebook.com
- Pasar por el proceso de verificación de Facebook por tu cuenta (prepárate para los requisitos mencionados arriba)
- Configurar Uppy para usar tus credenciales con cualquiera de estas opciones:
- Tu propio servidor Companion
- El Companion alojado de Transloadit con credenciales personalizadas
Configurar credenciales personalizadas con Transloadit
Si estás usando el servicio Companion alojado de Transloadit, puedes proporcionar tus propias credenciales OAuth:
uppy.use(Facebook, {
companionUrl: 'https://api2.transloadit.com/companion',
companionHeaders: {
'Transloadit-OAuth-Credentials': JSON.stringify({
key: 'YOUR_FACEBOOK_APP_ID',
secret: 'YOUR_FACEBOOK_APP_SECRET',
}),
},
})
Para instrucciones detalladas, consulta nuestra guía sobre el uso de credenciales personalizadas.
Un patrón más amplio
Esto no se trata solo de Facebook o Google. Se trata de una desconexión creciente entre la forma en que las grandes plataformas abordan la seguridad y cómo operan realmente las empresas modernas. Se asume que toda empresa tiene dispositivos propiedad de la compañía, administración de IT centralizada, infraestructura basada en Windows y relaciones laborales tradicionales.
Eso claramente está desconectado de la realidad, y cada vez más. Muchas de las empresas más innovadoras de hoy trabajan con equipos distribuidos, relaciones con contratistas y políticas BYOD. Los modelos de seguridad necesitan evolucionar para reconocer que la administración centralizada de endpoints no siempre es posible, ni siquiera deseable.
Mirando hacia adelante
Seguiremos dando soporte al plugin de Facebook en Uppy y ayudando a los clientes que quieran mantener sus propias integraciones. También estamos explorando enfoques alternativos que podrían evitar estos requisitos onerosos, similares a nuestros plugins de Google Picker.
Seguimos comprometidos con ofrecer la mejor experiencia posible de subida de archivos, incluso mientras el panorama de integraciones de terceros se vuelve cada vez más desafiante. Gracias por tu comprensión y apoyo continuo.
¿Tienes más preguntas o necesitas ayuda para migrar? Nuestro equipo de soporte está listo para ayudarte a configurar tus propias credenciales de Facebook o explorar soluciones alternativas. Contáctanos y con gusto te guiaremos durante el proceso.
