A lo largo de la historia, diferentes filósofos y pensadores han coincidido con la frase de Francis Bacon: “El conocimiento es poder”, y hoy en día, Internet es la mayor fuente de información que tenemos disponible, al alcance no solo de cualquier persona, sino de grandes empresas y organizaciones que cuentan con las herramientas para analizar y procesar este inmenso volumen de información.
Alon Gal, CTO de Hudson Rock, una compañía de Inteligencia de Amenazas mostraba a través de Twitter en enero de este año cómo estos datos estaban siendo comercializados en foros de hacking en junio de 2020, un paquete de datos que contiene los números de teléfono de más de 500 millones de usuarios de Facebook, junto a otros datos, como nombre, fecha de nacimiento, dirección de correo, ID de Facebook, ubicación geográfica, género, ocupación o situación amorosa.
Según explica el medio, no se sabe si los datos que componen el paquete que se ofrece fueron extraídos en su totalidad de Facebook o si algunos de los mismos fueron recolectados de los perfiles públicos y luego añadidos a la lista.
Por otra parte, además de ser en un primer momento comercializados en foros de hacking para luego ser ofrecidos de forma gratuita, según explica Gal, otros criminales ofrecían a través de Telegram un servicio pago para realizar búsquedas dentro de esta base de datos.
Según explicó el sitio BleepingComputer, tras revisar algunas muestras de los datos incluidos en este paquete, cada registro de usuario incluye el número de teléfono móvil, el ID de Facebook, nombre y detalle del género.
De acuerdo a la información sobre la ubicación geográfica, datos pertenecientes a más de 10 millones de usuarios de España integran la lista de afectados, mientras que de la región de América Latina figuran casi 18 millones de usuarios de países como Colombia y más de 13 millones de México.
Se cree que los números de teléfono fueron obtenidos de Facebook en 2019 luego de que actores maliciosos abusaran de una vulnerabilidad en la función para agregar amigos de la red social, la cual luego fue parcheada. Facebook afirmó que los datos incluidos en esta filtración son los mismos que los recolectados en 2019.
Aun cuando Facebook considera a estos datos antiguos Troy Hunt, el creador de la base de datos Have I Been Pwned, dijo que no hay indicios de que la violación no fuera legítima. Dijo que había encontrado alrededor de 2,5 millones de direcciones de correo electrónico únicas, pero el mayor impacto sería de los números de teléfono.
La forma sobre cómo afecta a los usuarios que una app o servicio sufra una brecha de datos, en manos indebidas esta información puede ser utilizada para realizar ataques de phishing a través del correo u otro tipo de ataque de ingeniería social; incluso para realizar ataques de SIM swapping.
A través de Have I Been Pwned los usuarios también podrán verificar si sus datos forman parte de la filtración. Si es así, con solo ingresar su dirección de correo aparecerá en la lista el incidente de Facebook con la fecha abril 2021.
El incidente es un buen recordatorio de lo importante que es cambiar las contraseñas cada cierto período de tiempo y no reutilizarlas en más de un servicio.
El ciberdelito ha aumentado durante la pandemia, y todo tipo de estafas cobraron acción durante el año pasado. Incluido en eso, está un aumento reciente de deepfakes, según el FBI. El contenido sintético podría ser utilizado por piratas informáticos de Rusia, China u otros países para ayudar a avanzar en sus agendas.
A medida que la inteligencia artificial (IA) gane más prominencia, este tipo de estafas se volverán más omnipresentes.
El peligro es enorme, ya que cualquiera puede obtener esos datos y usarlos por ejemplo para suplantar la identidad de los usuarios. El robo afecta a usuarios de 106 países y entre la información filtrada están los identificadores de Facebook, sus móviles, direcciones, biografías y en algunos casos la dirección de correo electrónico.
Y…¿EN REALIDAD FUE UN ROBO?
La reciente noticia acerca del uso de datos personales de más de 50 millones de usuarios de Facebook por parte de una consultora privada está en los títulos de todos los diarios. Sin embargo, más allá de la relación de lo sucedido con un tema político, hay una cuestión de privacidad en la que me gustaría profundizar para explicar por qué no se trató de un robo de información.
¡Pero como paso!… los datos obtenidos de la red social han sido recolectados gracias a una aplicación llamada “This is your Digital Life”, la cual fue instalada por más de 270,000 usuarios. Esta aplicación, aparentemente inofensiva, ofrecía un test de personalidad a cambio del acceso a la información de los usuarios: su perfil, su actividad e incluso la de sus contactos en dicha red.
Haciéndose valer de estos permisos, y principalmente potenciada por el último, la aplicación logró recolectar información personal de más de 50 millones de usuarios. Luego, los datos fueron transferidos a una tercera empresa que utilizó la información con fines de análisis para campañas publicitarias y políticas.
Sencillamente porque estos 270000 usuarios instalaron voluntariamente esta aplicación y le otorgaron acceso completo a su vida personal: sus gustos, sus actividades e incluso la de sus amigos y conocidos.
Además, la recopilación de dichos datos se hizo de acuerdo a los términos y condiciones de uso especificados por la red social para aplicaciones de terceros. Es decir, los usuarios aceptaron – con o sin conocimiento – los términos y condiciones y así dieron acceso a su información.
No es la primera vez que sucede que una red social hace uso abusivo o comercial de la información que le brindan los usuarios y se ve involucrada en cuestiones legales a las que deba responder judicialmente. Sin embargo, la información que ya se recopiló, se analizó y se utilizó para la manipulación publicitaria no se podrá remediar.
Y como usuarios ¿qué estamos haciendo para evitar el uso abusivo de nuestra información?
La respuesta es sencilla, ¿Cuántas veces has leído los términos y condiciones que se incluyen dentro de las redes sociales o de cualquier sitio en donde ingresas información?
Si la respuesta fue “si lo he hecho” entonces estarás familiarizado con frases como “En relación con el contenido con derechos de propiedad intelectual (contenido de propiedad), como fotos y vídeos, nos otorgas específicamente el siguiente permiso, sujeto a tu configuración de la privacidad y de las aplicaciones: nos otorgas una licencia no exclusiva, transferible, con posibilidad de ser subotorgada, exenta de derechos de autor y aplicable globalmente para utilizar cualquier contenido de propiedad intelectual que publiques en Facebook o con relación a Facebook”
“Al utilizar una aplicación, esta podrá pedirte permiso para acceder a tu contenido e información, así como al contenido y la información que otras personas hayan compartido contigo. Exigimos que las aplicaciones respeten tu configuración de privacidad, y será tu acuerdo con la aplicación en cuestión el que regirá la forma en que esta utilizará, almacenará y transferirá el contenido y la información que compartas.”
“Nos concedes permiso para usar tu nombre, foto del perfil, contenido e información en relación con contenido comercial, publicitario o relacionado (como una marca que has indicado que te gusta) procedente de Facebook o que hayamos optimizado. Esto significa, por ejemplo, que permites que una empresa u otra entidad nos paguen por mostrar tu nombre o foto del perfil con tu contenido o información sin que recibas ninguna compensación por ello.”
¿No las recuerdas, correcto? Es normal, la euforia o la urgencia en muchas ocasiones de tener que accesar en alguna aplicación que sabemos conlleva a brindar información confidencial por parte de nosotros. La idea no es que te vuelvas paranoico, cierres tus redes sociales ni vivas desconectado. Simplemente se trata de que seamos conscientes de lo que ocurre con nuestra información y podamos actuar en consecuencia. Decidamos mejor qué información brindar y tomarnos unos minutos para pensar antes de conceder permisos de forma automática.
El principal motivo por el cual los usuarios no cuidan su privacidad probablemente sea porque no son conscientes del valor que tiene su información. Es fácil pensar en una caja fuerte para proteger joyas, porque entendemos el valor que tienen estos objetos. Incluso resulta casi obvio cerrar la puerta de la casa con llave o guardar el dinero en el banco para que esté protegido.
Es que no es fácil darse cuenta que hay servicios que no se pagan directamente con dinero. Pero acaso, ¿no le estamos dando a las redes sociales toda nuestra información, a cambio de utilizar todas sus funcionalidades?
Estas grandes empresas se vuelven millonarias gracias a nuestros datos. Saben qué hacemos, qué nos gusta, quienes son nuestros amigos, nuestra familia. Dónde vamos de vacaciones, dónde estudiamos o trabajamos. Pueden (y de hecho lo hacen) analizar esta información para mostrarnos publicidad de productos o servicios que saben que son de nuestro interés, pueden ofrecernos noticias y otros artículos de información, que saben que nos van a interesar; saben con quién tenemos más afinidad, y quien no nos caería bien.
Ser consciente del valor que tiene nuestra información es el primer paso para comenzar a protegerla. Es hora de que como usuarios empecemos a tomar parte activa en la protección de nuestra información. Ya que más allá de los esfuerzos legales o las normas impuestas, en nosotros también recae cierto grado de responsabilidad en el cuidado de nuestros datos.
REFERENCIAS
Harán, Juan Manuel, Datos personales de 533 millones de usuarios de Facebook filtrados gratis, eseT 2021 welivesecurity.com, recuperado: https://www.welivesecurity.com/la-es/2021/04/05/datos-personales-533-millones-usuarios-facebook-filtrados-gratis/
PYMNTS, Hack de Facebook revelado; Datos sobre 533 millones de usuarios violados, Seguridad y Fraude 2021, recuperado: https://www.pymnts.com/news/security-and-risk/2021/facebook-hack-revealed-data-533-million-users-breached/
Pastorino, Cecilia, Redes sociales: el valor de la información personal y la responsabilidad de los usuarios, eseT, welivesecurity.com, recuperado: https://www.welivesecurity.com/la-es/2018/03/21/redes-sociales-valor-informacion-responsabilidad-usuarios/
