Tus datos están en la filtración de Facebook o LinkedIn: qué puedes hacer ahora y de qué son capaces los ciberdelincuentes con tu información

En cuestión de días se han promocionado en conocidos foros de hacking dos filtraciones masivas que contenían datos e información de millones de usuarios de Facebook y LinkedIn.

Por un lado, la filtración de teléfonos y nombres de 530 millones de usuarios de Facebook (11 millones en España) llevaba circulando por el internet profundo desde 2019, pero los ciberdelincuentes utilizaban esta 'mercancía' para traficar: solo podía acceder a ella pagando. La semana pasada, sin embargo, esta base de datos íntegra se compartió gratuitamente en un foro.

Es el mismo foro, precisamente, en el que días después se ofrecieron gratuitamente los datos de millones de miembros de LinkedIn, fruto de otra filtración que no se había conocido hasta ahora. Los usuarios afectados fueron otros 500 millones.

Ambas filtraciones son muy problemáticas. La de Facebook ha expuesto millones de números de teléfono. No es lo mismo que se filtre un correo electrónico o, incluso, en el peor de los casos, una contraseña sin cifrar: los usuarios pueden cambiar recurrentemente esa credencial. De teléfono es más complicado cambiar.

La de LinkedIn, por su parte, incluye información mucho más minuciosa sobre los 500 millones de usuarios afectados. El hacker y especialista Marc Almeida, Cibernicola en redes sociales, está haciendo  varios análisis sobre ambos incidentes, y de la filtración de LinkedIn destaca cómo hay docenas de campos de información de los afectados.

Desde que se conoció que la información filtrada de Facebook era mucho más accesible desde hace unos días, varios medios de comunicación han procurado explicar cómo pueden los usuarios saber si están entre los afectados. La solución es sencilla y no requiere descargarse los 15 gigas en texto plano que supone la filtración al completo.

Páginas como HaveIBeenPwnedhan actualizado su base de datos de información filtrada o robada en incidentes informáticos. Solo tienes que escribir tu correo electrónico para saber si tu dirección se ha filtrado en algún incidente. Si ha sido así, plantéate cambiar de correo o tu contraseña. También puedes escribir tu número de teléfono en formato internacional (incluyendo la extensión española +34) para saber si estás entre los afectados por la brecha de Facebook.

Trabajadores de la ciberseguridad rechazan que exista la brecha de talento: "Quieren gente sénior con sueldos de becario"

Una brecha sobre la que la propia Facebook emitió un nuevo comunicado esta semana en la que echaba balones fuera: solo admitía que el incidente se produjo en 2019 (cuando algunos expertos defendieron en las redes que la vulnerabilidad ya había sido detectada y avisada en 2017) y recomendaba a sus usuarios a actualizar sus opciones de privacidad en el perfil de la red social.

¿Cuál fue la vulnerabilidad de Facebook? Es muy complicado saberlo con exactitud, pero varios de estos especialistas han advertido que al usar Facebook, puedes importar los contactos de tu agenda telefónica (y sus números) para que la plataforma por sí sola te recomiende agregar a amigos a tus contactos telefónicos.

Lo que habrían hecho los atacantes es crear una agenda telefónica con millones de números para, de esta manera, asociar números con perfiles en la red social.

Si estás entre los afectados, no puedes hacer mucho más, lamentablemente. Ni siquiera Mark Zuckerberg puede hacer nada.

Pero, ¿qué pueden hacer los ciberdelincuentes con esa información?

La información es poder, también para los criminales

Una constante que se repite es que los datos son el petróleo del siglo XXI. La información es poder y en el ámbito de la ciberseguridad los especialistas han bautizado una serie de prácticas como OSINT, "inteligencia de fuentes abiertas". Todos los detalles que puedan recabarse sobre una persona, una organización, o un concepto a través de fuentes abiertas como perfiles sociales.

Los hackers practican su OSINT de las formas más dispares. Por ejemplo, son capaces de colaborar en casos de personas, animales u objetos desaparecidos con muy pocos recursos: a raíz de una fotografía pueden buscar en la red semejanzas, consultar los metadatos del archivo, y recurrir a las fuentes más dispares para saber dónde se tomó la imagen.

Ni es solo prevención ni solo tecnología: claves para que las empresas empiecen a trabajar en su ciberseguridad, según el director del Centro de Operaciones de Seguridad de Mapfre

Los criminales informáticos también ponen en práctica estas herramientas pero con fines mucho más espurios: pueden saber si el directivo de una empresa está registrado en una página web de citas (o incluso infidelidades) o suplantarlo en una app de compraventa de segunda mano contando solo con su correo electrónico.

Ahora imagínate qué se puede hacer cuando la información que tienes es mucho mayor. Si sumas las dos bases de datos que se están compartiendo en la red, cualquier persona puede tener acceso a un sinfín de datos de un solo individuo: correo electrónico, número de teléfono, nombre real y pseudónimo, puesto de trabajo, experiencia profesional, fecha de nacimiento, lugar de nacimiento, ciudad en la que reside...

Blinda tus contraseñas y reduce tu exposición

Si en un servicio se te da la opción de generar una pregunta de seguridad para recuperar tu contraseña, te habrás dado cuenta de que en muchos casos esas preguntas son tan básicas como: "lugar donde naciste", "nombre de tu primer profesor", "nombre de tu primera mascota".

En las redes sociales los usuarios comparten su vida al completo. Un ciberdelincuente que haya accedido a la base de datos de Facebook filtrada puede usar tu número de teléfono para asociarte a otros servicios en los que estés registrado. 

Sabiendo cuál es tu cuenta en la popular red social, si no has configurado bien las opciones de privacidad, puede que esa persona sepa o descubra cómo se llamaba tu primer profesor en la escuela porque lo tienes en tu lista de amigos. O cómo se llamó tu primera mascota porque subiste una foto. O saber dónde naciste simplemente porque ya aparece en la base de datos filtrada.

Por eso, en caso de que en algún servicio sigas dependiendo de estas preguntas de seguridad, lo mejor es que blindes tu contraseña utilizando un gestor de contraseñas, introduciendo el doble factor de autenticación —al iniciar sesión, tener que usar tu móvil o una llave física para confirmar que estás accediendo con tus datos—, aprovechar los recursos biométricos —como tu huella dactilar— para que el dispositivo compruebe que eres realmente tú...

Blindar la contraseña, sin embargo, nunca es suficiente. Si no quieres que los ciberdelincuentes tengan pistas sobre ti, lo mejor es que reduzcas tu exposición en las redes sociales.

Siempre hay algo que esconder

Un usuario medio suele asegurar que no tiene miedo a la ciberdelincuencia porque no tiene nada que esconder. Pero la frase "quién va a querer hackearme a mí" nunca puede justificar nada. Tampoco navegar por la red sin la protección adecuada.

Quizá no tengas nada que esconder pero sí tengas una cuenta bancaria. Quizá no tengas nada que esconder pero sí manejes fondos de tu empresa. Quizá no tengas nada que esconder pero no te haría gracia ver tus fotos en perfiles falsos o suplantándote, damnificando tu reputación.

XIV Smart Business Meeting: el gran reto de la ciberseguridad para empresas e internautas

La red, como su propio nombre indica, lo interconecta absolutamente todo. Un correo electrónico débilmente protegido no solo tiene por qué comprometerte a ti: puede comprometer la empresa o la administración para la que trabajes.

En tiempos de coronavirus, en los que los confinamientos han sido forzosos y obligados y muchas personas han adoptado el teletrabajo con relativa facilidad, los ciberataques se han disparado. Muchos profesionales en remoto han confiado en sus capacidades informáticas o han cometido más errores fruto de su estrés, lo que ha provocado que en muchos casos la superficie de ataque en determinadas compañías haya sido mayor o se hayan vulnerabilizado.

Hay que estar siempre alerta

Gracias a los millones de números de teléfono que se han filtrado con la brecha de Facebook, los ciberdelincuentes tienen muchísimas facilidades para iniciar campañas masivas de phishing segmentadas por nacionalidades.

Como se exponía hace unas líneas, no es lo mismo cambiarse de correo o contraseña que hacerlo de número de teléfono. Los SMS con phishing son una práctica cada vez más habitual que en los últimos años han impersonado a organismos públicos como Correos y a cadenas de supermercados como Mercadona.

El objetivo de estos SMS puede ser dispar. Haciéndose pasar por una empresa o una entidad creíble, suelen invitar a sus potenciales víctimas a pinchar en un enlace que redirigirá al usuario a una página fraudulenta en la que tendrá que introducir sus credenciales. La víctima, pensando que se trata de una página oficial, estará entregando, sin saberlo, más datos a los criminales.

"¡Exige que respeten tu privacidad!": el insólito mensaje de ciberdelincuentes a los clientes de una tienda atacada con 'ransomware' que no quiere pagar un rescate

Datos que pueden ser mucho más sensibles. Desde cuentas bancarias o tarjetas de crédito, a DNI o números de la seguridad social.

En otras ocasiones, estos SMS o correos con phishing lo único que pretenden es que el usuario pinche en el enlace fraudulento para descargar código malicioso en el dispositivo. Un código malicioso que podría operar y propagarse por todos los terminales que estén conectados a la misma red. Así es como ocurren los peligrosos ataques con ransomwarea grandes empresas o a administraciones públicas, como le ocurrió recientemente al SEPE.

Con los datos que se han filtrado de tus cuentas en Facebook o LinkedIn, los ciberdelincuentes tienen más facilidades que nunca para continuar sofisticando sus ataques contra absolutamente todo el mundo en la red.