Facebook echa balones fuera con su última brecha de datos masiva y responsabiliza a sus usuarios para que configuren sus perfiles como privados

Facebook se ha pronunciado por primera vez desde que la semana pasada se filtrara de forma gratuita una enorme base con los datos de unos 530 millones de usuarios de la red social, 11 millones de ellos españoles. Se tratan de varios archivos de texto plano que en su conjunto pesan más de 15 GB.

La brecha masiva contiene datos como números de teléfonos, nombres, colegios, estados civiles, edad o códigos para identificar cuentas de Facebook. Entre los afectados está el propio Mark Zuckerberg.

En un artículo en su blog, la red social señala que los usuarios cuya información se ha visto comprometida no tenían sus perfiles configurados como privados, y ha ahondado en detalles sobre cómo los ciberdelincuentes lograron recopilar la información de millones de perfiles.

El artículo, que puedes leer aquí, recuerda que esta brecha masiva se conoció en 2019. Sin embargo, no ha sido hasta este año cuando la base de datos, tras haber estado a la venta en el internet profundo durante meses, se ha filtrado de forma prácticamente gratuita y más accesible que nunca en populares foros de hacking.

Cómo comprobar si tus datos se han filtrado en una brecha de seguridad o ciberataque, y cómo protegerte llegado el caso

Mike Clark, director de Gestión de Productos de la plataforma, detalla que los criminales informáticos pudieron recopilar los datos de millones de usuarios gracias a la funcionalidad de la red social que permite encontrar amigos importando contactos del teléfono.

Lo que habrían hecho estos actores maliciosos es crear una masiva agenda telefónica con números de teléfonos de todo el mundo y acto seguido tratar de 'importar contactos' con ella.

Esto se detectó en 2019 aunque algunos expertos, como el hacker belga Inti De Ceukelaire, han reivindicado en las redes sociales que ya advirtió a la compañía de que este agujero de seguridad existía en 2017, pero no se tomó ninguna medida.

"Aunque identificamos el problema en 2019, siempre es bueno que todo el mundo se asegure de que su configuración se alinea con lo que realmente quieren compartir de forma pública. Por eso, actualizar las opciones sobre "Cómo la gente puede encontrarte" en la plataforma ayudaría", destaca Clark.

"También recomendamos a los usuarios que hagan comprobaciones regulares sobre su privacidad para estar seguros de que su configuración es la adecuada, incluyendo quién puede ver cierta información en su perfil y activando la autenticación de doble factor".

En su comunicado, la red social trata de aclarar diversos puntos relacionados con esta brecha de datos personales, al tiempo que recuerda que los ciberdelincuentes que recopilaron la información privada de los afectados incumplieron sus términos y condiciones del servicio.

Esta página web te dice si tus datos de Facebook han sido robados

En ningún momento se hace autocrítica alguna, a pesar de que efectivamente en 2019 tuvieron que actualizar su funcionalidad para encontrar contactos por el número de teléfono para evitar que este rastreo masivo de la información privada pudiera volver a ocurrir.

"Como resultado de las acciones que tomamos, estamos seguros de que el problema específico que permitió [a los ciberdelincuentes] recopilar estos datos en 2019 ya no se puede explotar".

Muchas preguntas sin respuesta

Pero Clark, el alto cargo de Facebook, deja muchas preguntas sin responder.

Mikko Hypponen, especialista en ciberseguridad, resumió en un tuit el incidente: "Los atacantes crearon una agenda telefónica con todos los números de teléfono del planeta y después seleccionaron en Facebook la opción de comprobar si tienen amigos en esa red social".

Motherboard se ha hecho eco de este comunicado de Facebook pero planteando cuáles son algunas de esas preguntas que todavía no se han aclarado.

Por ejemplo, en qué momento se recopilaron exactamente los datos personales de los más de 500 millones de usuarios. En el comunicado se resume únicamente que el incidente se detectó en 2019, pero el hacker belga antes citado insiste en redes que ya advirtieron de esta vulnerabilidad años antes.

El medio también pregunta por qué muchos usuarios de Facebook que habían eliminado su cuenta en la red social hacía años se han visto sorprendidos al ver que sus datos también forman parte de la filtración. ¿La red social no elimina los datos de sus usuarios que se marchan de la plataforma?

9 claves para mejorar tu privacidad en Facebook y proteger tus datos

Ahora que esta base de datos se ha filtrado de forma gratuita —hasta ahora circulaba por el internet profundo, pero a cambio de precios prohibitivos—, Facebook vuelve a estar en el ojo del huracán y cabe esperar reacciones por parte de los organismos de control europeos. La agencia irlandesa de protección de datos, la DPC, ya se habría puesto en contacto con la red social, según Motherboard.

También la Comisión Federal del Comercio de EEUU podría volver a imponer una nueva multa. Varios expertos han detallado al medio antes citado que esta base de datos exfiltrada de Facebook se conoció en junio de 2019, apenas unos días antes de que la multinacional acordase con esa administración estadounidense el pago de una histórica multa de 5.000 millones de dólares.

Una sanción histórica vinculada a escándalos de privacidad y en cuyos requisitos se exigía que la red social debería compartir con las autoridades cualquier brecha o vulnerabilidad que sufriera en tiempo y forma.

Quizá, por eso, Facebook no quiere hablar de haber sufrido un gran hackeo, y tan solo se refiere al problema como "una vulneración" de sus términos y condiciones.