En los últimos días se supo que datos de más de 500 millones de usuarios de Facebook fueron filtrados en foros. Cualquier brecha de datos, especialmente una que afecte a una cantidad tan grande de usuarios, es desagradable tanto para la empresa como para los usuarios afectados. Sin embargo, en este caso parece ser una noticia vieja con un nuevo giro.
La cronología de esta violación de datos, según Facebook, comienza en 2018, cuando se supo que actores maliciosos estaban abusando de una función en Facebook que permitía a un usuario buscar a otro a partir de su número de teléfono para ubicarlo en la red social. Esta función fue especialmente útil en territorios donde muchos usuarios comparten el mismo nombre y apellido, lo que hace que sea complejo localizar a la persona real que estaba buscando. Desafortunadamente, esto permitió a los malos actores abusar de la función y “raspar” Facebook a través de la automatización y el uso de scripts para compilar una base de datos que, como mínimo, incluía el nombre y el número de teléfono de la víctima.
Facebook eliminó la función en abril de 2018, poco después del escándalo de Cambridge Analytica, cuando identificó la actividad maliciosa de “raspado”. Más adelante, en 2019, TechCrunch informó que un investigador de seguridad encontró registros de 400 millones de cuentas de Facebook en una base de datos desprotegida en la web. En ese momento, Facebook confirmó que los datos estaban fechados y parecían haber sido recopilados antes de la eliminación de la función de búsqueda en 2018. Los datos sin protección se eliminaron del acceso público.
En los últimos días, varios medios de comunicación informaron que los investigadores de seguridad, una vez más, identificaron una base de datos de acceso público que aparentemente contiene los mismos datos que fueron extraídos de Facebook y que se informaron en 2019.
Según publicó TechCrunch a partir de declaraciones de la Comisión de Protección de Datos de Irlanda (DPC), es posible que al conjunto de datos originales se le hayan agregado otros datos desde que fueron sustraídos en 2018. Por otro lado, la DPC intenta establecer todos los hechos para determinar si la infracción ocurrió antes de que entrara en vigor el Reglamento General de Protección de Datos (GDPR).
Si al momento de “raspar” en los perfiles de Facebook los mismos estaban públicos, es posible que el actor malintencionado haya recopilado más información y más personal, que luego podría usar para crear un perfil de la víctima. Los datos que contienen información personal identificable podrían usarse contra la víctima en casos de robo de identidad, ataques de phishing dirigidos, ingeniería social, toma de control de cuentas y otras estafas que podrían causar daños importantes.
¿El valor de los datos disminuye con el tiempo? La respuesta es ambas, sí y no. Hoy tengo el mismo número de teléfono que tenía en 2018, la información que es estática, como la fecha de nacimiento, sigue siendo la misma, e incluso una línea de tiempo de actividad no cambiará, sino que simplemente se habría detenido en el punto en que se recopilaron los datos. En el caso de las contraseñas —que no formaban parte de los datos expuestos en el caso de Facebook—, probablemente hayan sido modificadas en los últimos tres años.
El servicio web que rastrea brechas de datos Have I Been Pwned (HIBP) señala que solo 2,5 millones de los registros encontrados en los datos de acceso público desprotegidos incluían una dirección de correo electrónico; sin embargo, la mayoría de los registros contenían nombres, sexo, fecha de nacimiento, ubicación, estado civil y detalles del empleador. En cuanto al valor de estos datos y la relevancia de la filtración, yo consideraría que la publicación de estos datos personales —incluso sin una dirección de correo electrónico— representa un compromiso para mi identidad y que es algo que debería preocuparme.
Cómo comprobar si fuiste afectado
En cuanto a las cuentas de usuario que contenían una dirección de correo electrónico, los actores malintencionados podrían intentar acceder a Facebook y a otros sitios y servicios utilizando la dirección de correo electrónico e implementando técnicas de fuerza bruta con contraseñas de uso común. Si la víctima solo usa contraseñas simples, reutiliza la misma en varios sitios, y además nunca las cambia, entonces debe tomar medidas hoy: cambie las contraseñas, establezca una única para cada cuenta y procure que sean complejas. Además, active el doble factor de autenticación. Puede comprobar si fue uno de los 2,5 millones en el sitio web de HIBP.
Sin embargo, quizás lo más importante es que el sitio ahora también permite a cualquiera verificar si su número de teléfono fue expuesto.
¿Por qué es esto importante más allá de la gran cantidad de números de teléfono filtrados? Si alguna vez recibió un mensaje de texto SMS para restablecer una contraseña de Netflix o que decía que había una gift card esperándolo, debe tener en cuenta que los actores malintencionados probablemente usarán los datos que tienen, el nombre y el número de teléfono, para realizar alguna acción mediante ingeniería social que les permita engañar a la víctima y recibir una respuesta que le de acceso o datos que luego pueden monetizar. También es probable que los criminales hayan combinado estos datos con otros datos provenientes de otras brechas, que podrían incluir su dirección de correo electrónico u otros datos personales, lo que le dará al actor malicioso suficiente información para lanzar contra las personas ataques de ingeniería social personalizados con una apariencia muy creíble.
Estar atento y mantener una actitud de duda ante cada mensaje y correo electrónico que recibe le ayudará a proteger sus cuentas en Internet. Combine esto con contraseñas únicas y fuertes, el doble factor de autenticación y un buen software de seguridad, como ESET, lo ayudarán a protegerse. Y, si no puede recordar contraseñas o crear contraseñas complejas únicas, considere utilizar un administrador de contraseñas.