Facebook, LinkedIn o Clubhouse: los hackeos en redes sociales siguen creciendo porque son el 'petróleo' con el que los ciberdelincuentes montan sus ataques

En cuestión de semanas han trascendido a los medios tres graves brechas de datos de tres grandes plataformas sociales: Facebook, LinkedIn y Clubhouse.

Han trascendido en los medios pero no son las únicas. E incluso en muchas ocasiones los ciberdelincuentes no necesitan extraer de forma ilícita datos de usuarios de estas redes, ya que se sirven de lo que se exponga un usuario que no haya configurado correctamente su privacidad.

La filtración de Facebook incluía números de teléfonos y otros datos como el nombre, la ciudad de nacimiento y de residencia de más de 530 millones de usuarios. De ellos, 11 millones de afectados son usuarios en España. El organismo de protección de datos irlandés, el único competente para abrir una investigación contra Facebook por albergar la filial de esta gran tecnológica para Europa, ya ha anunciado que lo hará de oficio.

Esta filtración de Facebook ya trascendió en 2019, pero hasta ahora había circulado en los mentideros de la red y bajo precio. No ha sido hasta este mes de abril cuando una persona ha compartido esta magna base de datos —son más de 15 gigas en archivos de texto plano— en un popular foro de hacking de forma completamente gratuita.

Tus datos están en la filtración de Facebook o LinkedIn: qué puedes hacer ahora y de qué son capaces los ciberdelincuentes con tu información

Otras filtraciones como la de LinkedIn aparecieron días después en el mismo portal. Bajo pago, aunque el usuario que la subía compartía como ejemplo millones de los datos que se habían recopilado de la red profesional que posee Microsoft.

En el caso de LinkedIn, los datos eran mucho más jugosos. Además del nombre o el teléfono, en una enorme base de datos los ciberdelincuentes que quisiesen acceder a este historial con intenciones espurias podían encontrarse con información tan sensible como el puesto o empleo de la víctima, así como con toda su trayectoria profesional.

Las brechas de Facebook y LinkedIn son estratosféricas si se comparan con la de Clubhouse. La primera afectó a 530 millones de usuarios, mientras que la segunda también a otros 500 millones. Por suerte, la de Clubhouse solo a 1,3 millones. La popular app de charlas en directo, que de momento solo está disponible en dispositivos iPhone, tampoco ha estado a salvo del escrutinio de cibercriminales.

Por qué aumentan estas brechas

Las redes sociales no son los únicos objetivos de los ciberdelincuentes. Pero por su naturaleza, son uno de los más jugosos.

Aunque ya se han registrado filtraciones masivas de datos de usuarios de hoteleras, tiendas en línea e incluso servicios de startups españolas, son en las redes sociales donde los usuarios comparten más datos sobre sí mismos.

El principal propósito de los ciberdelincuentes al extraer esta información de sus objetivos no es otro que el de reunir inteligencia.

La industria de la ciberdelincuencia depende mucho de esa inteligencia. Los hackers conocen como OSINT la técnica por la que los especialistas en seguridad informática son capaces de recabar datos sobre algo con el fin de conseguir un objetivo. OSINT son las siglas en inglés de inteligencia de fuentes abiertas, precisamente. Una técnica que, en malas manos, puede ser peligrosa.

Otras tácticas habituales de muchos ciberdelincuentes es lo que se ha dado en conocer como ingeniería social. Cuando un criminal se hace con tu teléfono, está un paso más cerca de irrumpir en tu vida con cualquier método. Una llamada haciéndose pasar por un compañero de trabajo o por un familiar, un correo o un SMS con un enlace malicioso, o cualquier otro recurso que pueda comprometer tu seguridad informática.

La ciberseguridad también tiene unas "consecuencias emocionales" que pasan "desapercibidas", advierte Selva Orejón, especialista en reputación digital

Un reciente estudio de Proofpoint, empresa de ciberseguridad, destacaba que el 98% de las compañías han recibido intentos de ciberataques de un delincuente haciéndose pasar por un proveedor. El dato sale de una encuesta que la marca hizo a 3.000 organizaciones de países como EEUU, Reino Unido o Australia.

En el XIV Smart Business Meeting que Business Insider España dedicó a la ciberseguridad, especialistas como Pablo de la Riva, CEO de Buguroo, o Selva Orejón, experta en reputación digital y CEO de onBRANDING, recordaron la importancia de mantener la seguridad digital siempre presente a la hora de navegar en internet.

Aunque pueda parecer que un usuario medio no tenga mucho que esconder, lo cierto es que si se sufre un ciberataque se compromete algo más que una cuenta bancaria: desde la reputación de una persona hasta la operativa de la empresa o administración para la que trabaja. Como el SEPE o el Ayuntamiento de Castellón.

De ahí el especial interés que muchos ciberdelincuentes tienen por hacerse con estas grandes brechas de datos. Bases de datos filtradas con información robada de grandes plataformas tecnológicas que después circulan por el mercado negro de la red. Un auténtico tráfico ilegal de información.

Las grandes tecnológicas no las quieren reconocer

Es muy posible que hoy se estén dando robos y grandes hackeos a plataformas tecnológicas que no se conozcan hasta dentro de meses o años.

La sencilla razón es que las grandes tecnológicas propietarias de las redes sociales no suelen querer reconocer este tipo de incidentes informáticos, al exponerse a multas millonarias. En Europa, la DPC irlandesa ha iniciado una investigación de oficio al entender que Facebook podría haber incumplido algún precepto del Reglamento General de Protección de Datos (RGPD).

De hecho, la propia Facebook echó balones fuera en un comunicado emitido hace unos días en el que sencillamente deslizaba lo necesario que es que los usuarios puedan tener sus perfiles con la privacidad correctamente configurada. Algunos especialistas en ciberseguridad recordaron que la vulnerabilidad por la que se habría producido ese incidente ya se le fue advertida en 2017 a la compañía.

Este fallo de WhatsApp permite que cualquiera te cierre la cuenta conociendo solo tu número, según han descubierto 2 jóvenes hackers españoles

Politico por ejemplo detallaba en este reciente reportaje cómo muchas de estas grandes tecnológicas hacen lo que se conoce como "luz de gas" con el objetivo de desviar el debate y las posibles acusaciones y demandas de responsabilidad que pudieran recibir.

Facebook, sin embargo, reconoció el incidente. Clubhouse rechazó cualquier brecha y Microsoft, propietaria de LinkedIn, alegó que lo que se había filtrado se trataba de información pública.

No es la primera vez que especialistas en ciberseguridad se refieren a la integridad de redes sociales como TikTok, que podría estar enviando ahora mismo tus datos a servidores en China, o la propia Clubhouse. Check Point, otra empresa de ciberseguridad, recordaba hace unas semanas que un usuario había conseguido subir ya conversaciones mantenidas en esta plataforma a una web de un tercero el pasado mes de febrero.

En esta dinámica, quien queda siempre más desprotegido es el usuario. Anurag Kahol, director tecnológico de Bitglass, reivindicaba hace unos días la importancia de preservar la identidad en la red. Proteger esa identidad resulta "cada día más crítico a medida que la aceleración de los esfuerzos de la transformación digital abren nuevas puertas a los responsables de las amenazas".

"Dado que ahora vivimos en una época en la que nuestra vida cotidiana gira en torno a internet, la concienciación sobre la gestión de la identidad nunca ha sido más crítica".