Facebook fue advertida durante años de que las herramientas de búsqueda de números de teléfono se prestaban a ciberataques... hasta que se robaron los datos de 500 millones de usuarios
- Varios investigadores advirtieron durante años sobre la vulnerabilidad de las herramientas de búsqueda de números de teléfono de Facebook a posibles robos.
- Facebook comunicó que había solucionado el problema en 2019. Pero para entonces, los datos de más de 500 millones de usuarios habían sido robados.
- Los investigadores también afirman que encontraron un problema casi idéntico en WhatsApp poco después, pero Facebook inicialmente dijo que no era un problema.
- Descubre más historias en Business Insider España.
Facebook corrigió en agosto de 2019 una brecha de seguridad que había permitido a los piratas informáticos extraer los datos de más de 500 millones de usuarios de su aplicación.
Pero la compañía había sido advertida de los riesgos de las herramientas que permitían la extracción de datos años antes de que finalmente tomara medidas.
Y cuando los investigadores de seguridad informaron de una vulnerabilidad casi idéntica en WhatsApp, propiedad de Facebook, sólo un mes después de esa reparación, Facebook negó inicialmente que fuera un problema, antes de tardar meses en resolverlo.
Business Insider ha hablado con investigadores de ciberseguridad y ha revisado la literatura académica que demuestra que Facebook fue advertida en repetidas ocasiones, ya en 2012, sobre los riesgos de la filtración de datos a través de sus diversas herramientas de búsqueda de números de teléfono. La semana pasada, Business Insider informó de que a 533 millones de usuarios (11 millones de ellos en España) se les habían robado sus datos personales de la red social a través de esas herramientas y se habían publicado en internet. Esos datos de Facebook incluyen números de teléfono, ubicaciones y otra información personal identificable.
Estos incidentes ilustran cómo las características principales de los productos de Facebook han permitido el uso indebido de datos y plantean preguntas sobre cómo evalúa la empresa la gravedad de las amenazas a los datos de los usuarios, así como la forma en que comunica estos problemas a través de sus diversos productos.
En un comunicado, el portavoz de Facebook Joe Osborne ha dicho lo siguiente: "A lo largo de los años, hemos trabajado con la comunidad de seguridad para mejorar las medidas que protegen la privacidad de las personas, por muy improbable que sea la amenaza. Como ha quedado demostrado con LinkedIn, ninguna empresa puede eliminar por completo el scraping, pero todos podemos reforzar nuestras defensas. WhatsApp ha realizado cambios en los servidores para ayudar a prevenir la posibilidad de ejercicios de rastreo a gran escala como los descritos en la noticia. Y Facebook ha realizado cambios en la función de importación de contactos para dificultar el scraping."
Robo de datos de 500 millones de usuarios
El problema se centra en la forma en que Facebook permite a los usuarios buscar contactos a través de sus números de teléfono, y en particular a través de su herramienta de "importador de contactos".
Esta herramienta permite a los usuarios subir sus agendas con los números de teléfono de sus amigos y contactos, para comprobar si están en la aplicación, ver información sobre ellos y añadirlos como amigos. Han existido versiones de la herramienta tanto para Facebook como para WhatsApp.
Los atacantes podían, según los investigadores, crear una agenda de contactos falsa con números hipotéticos en ella, y luego recopilar los datos personales de las personas reales a las que resultaban corresponder estos números.
En algún momento antes de agosto de 2019, ocurrió exactamente esto. Un atacante no identificado robó los datos personales de 533 millones de personas de Facebook, yBusiness Insider adelantó la semana pasada que estos datos estaban disponibles de forma gratuita en internet. Después de que la compañía detectara la actividad maliciosa en 2019, hizo cambios en la función en agosto de ese año para evitarlo, según escribió la compañía en su blog la semana pasada. No está claro si este robo de gran repercusión fue específicamente lo que provocó el arreglo.
Pero mucho antes del ataque de 2019, estos riesgos de seguridad eran bien conocidos en el sector. Los investigadores habían escrito extensamente sobre cómo las técnicas automatizadas de "scraping" podían ser utilizadas para recoger datos personales de las plataformas online. Y al menos desde 2012, varios académicos advirtieron sobre la posibilidad de que las herramientas de búsqueda de números de teléfono se prestaran a posibles ataques, y demostraron con éxito cómo funcionaban dichos ataques tanto en WhatsApp como en Facebook.
XIV Smart Business Meeting: el gran reto de la ciberseguridad para empresas e internautas
Un documento académico elaborado para el Network and Distributed System Security Symposium en 2012 evaluó la seguridad de WhatsApp dos años antes de que fuera adquirida por Facebook. Los investigadores descubrieron que, generando números de teléfono aleatorios, podían subir una agenda de 10 millones de números potenciales -todos los números del prefijo de San Diego, California- en la aplicación de mensajería, lo que permitió obtener 21.095 números que utilizaban WhatsApp, así como sus biografías.
Cinco años después, otro equipo de investigadores advirtió que otra de las herramientas de Facebook para buscar números de teléfono era vulnerable. Utilizaron la herramienta de búsqueda de la red social y cientos de miles de números aleatorios para obtener los datos de más de 80.000 usuarios, incluyendo "amigos, ciudad actual, ciudad natal, educación, familia, trabajo y relación." Sus hallazgos fueron publicados en ISPEC 2017: Information Security Practice and Experience.
Una forma de abordar estos problemas es con la limitación del uso: existen herramientas que detectan automáticamente cuando un usuario realiza un número inusualmente alto de consultas o búsquedas, y entonces lo frenan o ralentizan.
"La existencia de ataques de scraping tanto en WhatsApp como en Facebook no es en sí misma una novedad sorprendente", explica a Business Insider Christoph Hagen, un investigador que analizó WhatsApp en 2019. "Se ha hecho en el pasado".
"Es más sorprendente que todavía fuera relativamente fácil cuando lo probamos", agrega.
Facebook sigue restando importancia al asunto, según los investigadores
En 2019, un mes después de que Facebook abordara el asunto de la búsqueda de contactos en su app principal, Hagen y otro investigador se pusieron en contacto con la compañía.
Habían estado investigando WhatsApp, propiedad de Facebook, y descubrieron que seguía siendo vulnerable al raspado de datos de contactos a gran escala. Hagen, asistente de investigación en la Universidad de Würzburg, y Christian Weinert, doctorando en la Universidad Técnica de Darmstadt, fueron capaces de analizar 50 millones de números de teléfono -aproximadamente el 10% de todos los números de Estados Unidos- e identificar a más de 4,5 millones de usuarios de WhatsApp. (En ese momento, WhatsApp había establecido algunos límites al número máximo de búsquedas de contactos en un lapso de tiempo, pero éste era de 60.000 al día, por lo que los investigadores aún pudieron comprobar millones de números en poco más de un mes).
Pudieron obtener las fotos de perfil de los usuarios y las frases y mensajes de estado que acompañan al nombre, que podían ser minadas para obtener información sobre la identidad de los usuarios. (A diferencia de la filtración de datos de Facebook de 2019, no se incluían los nombres completos, fechas de nacimiento o ubicación, y tampoco los mensajes enviados a través de WhatsApp. Sin embargo, la información podría combinarse con otros conjuntos de datos filtrados que circulan en internet para construir perfiles completos sobre millones de personas).
Escribieron a Facebook en septiembre de 2019 para alertar a la compañía de sus hallazgos. "Expone a los usuarios de WhatsApp a las llamadas de spam y al fraude, especialmente a los que tienen fotos de perfil públicas. En muchos casos, las fotos de perfil y el estado del usuario revelan información adicional, como el nombre, el género, la edad, el idioma, su estado sentimental, sus preferencias, su fe o su nacionalidad", escribieron en un correo electrónico visto por Business Insider. "Esto es especialmente preocupante para cualquier menor que esté registrado en WhatsApp, ya que podría quedar expuesto a sujetos malintencionados".
La respuesta inicial de Facebook fue desestimar la advertencia. Un empleado de seguridad contestó a los investigadores que "mucho de lo que describís parece un comportamiento intencionado". La empresa cerró entonces el informe, añadiendo: "Esto no es algo que consideremos válido en nuestro programa de recompensas por errores. Hay casos de uso legítimos en los que un usuario puede querer subir muchos contactos (por ejemplo, una empresa puede tener más de 200.000 empleados)."
Weinert afirma que consiguieron ponerse en contacto con un miembro del personal de seguridad de Facebook de forma independiente, lo que llevó a que Facebook reabriera su informe para una investigación más profunda un mes después, a finales de octubre.
Un portavoz de la compañía rechaza la idea de que el informe de los investigadores alemanes fuera desestimado, a pesar de que los documentos revisados por Business Insider dejan claro que Facebook archivó el informe de los investigadores hasta que éstos lo investigaron.
Finalmente, Facebook introdujo cambios en sus sistemas en 2020 para detectar y prevenir mejor el scraping a gran escala en WhatsApp. El marco temporal exacto de esa revisión no está claro: un portavoz de Facebook dice que se arregló a principios de 2020, pero no ha podido dar una fecha concreta. El 28 de febrero de 2020, el equipo de seguridad de Facebook dijo a los investigadores por correo electrónico que "el trabajo aún seguía en marcha" y que su "objetivo era implementar [los] cambios en los próximos meses". La compañía les pidió que retrasaran repetidamente la publicación del artículo que los investigadores tenían previsto publicar sobre sus hallazgos, y finalmente les dijo en julio de 2020 que había solucionado el problema, casi 10 meses después de que presentaran la solicitud por primera vez.
No se considera crítico
No está claro por qué Facebook, habiendo trabajado para solucionar el problema en su app principal en agosto de 2019, no lo hizo también en las otras plataformas que posee, como WhatsApp, sino que restó importancia a las preocupaciones de los investigadores. Weinert afirma que "dada la descripción oficial de Facebook ... el problema es exactamente el mismo (es decir, límites de velocidad insuficientes / medidas de protección de raspado de datos en la API de descubrimiento de contactos)".
Tampoco está claro por qué Facebook tardó tanto tiempo en solucionar la vulnerabilidad en WhatsApp cuando sabía que los atacantes ya habían encontrado y explotado el problema homólogo al de su aplicación principal. Un portavoz de Facebook asegura que la compañía no puede confirmar si los atacantes maliciosos llegaron a explotar la vulnerabilidad de WhatsApp, pero creen que es poco probable. Más tarde añadieron que la compañía no había encontrado pruebas de ello.
"Dado que, en cualquier caso, pasaron al menos un par de meses antes de que implementaran cualquier corrección, esto me dice que este problema no se trató con la máxima prioridad y no se consideró crítico", escribe Weinert en un correo electrónico a Business Insider. Sin embargo, añade, es posible que el equipo de seguridad de Facebook haya dado prioridad a amenazas de seguridad más graves, y "diseñar y desplegar protecciones eficaces contra el scraping sin perturbar el uso realmente legítimo en un sistema de producción tan grande no es algo que pueda ocurrir de la noche a la mañana."
Weinert y Hagen llegaron a publicar sus hallazgos en septiembre de 2020. Facebook les concedió 5.000 dólares a través de su programa de "recompensas por errores" para la divulgación responsable de problemas de seguridad, que donaron al grupo de defensa Electronic Frontier Foundation. Los investigadores también identificaron problemas similares en las aplicaciones de mensajería rivales Telegram y Signal, que igualmente introdujeron cambios en sus sistemas como respuesta.
El scraping de datos es un auténtico reto para toda la industria
El robo de datos no es un problema exclusivo de Facebook; muchas otras empresas tecnológicas han luchado a lo largo de los últimos años para encontrar la mejor manera de gestionarlo.
Aun así, ha causado repetidos dolores de cabeza para el gigante de las redes sociales.
En 2019, Buiness Insider informó que uno de los "socios de marketing" de confianza y vetados de Facebook, la startup Hyp3r, estaba explotando vulnerabilidades en Instagram para recopilar millones de datos, publicaciones y ubicaciones de los usuarios. En respuesta, la compañía emitió una orden de cese y desistimiento contra Hyp3r y finalmente lanzó una revisión a gran escala de cientos de sus socios.
Y en septiembre de 2020,Business Insider informó sobre cómo las aplicaciones de seguimiento de WhatsApp explotaban la aplicación de mensajería para controlar cuándo estaban activos los usuarios, cuándo dormían y con quién era probable que hablasen a través de la aplicación.
Este artículo fue publicado originalmente en BI Prime.
Otros artículos interesantes:
Conoce cómo trabajamos en Business Insider.