Los datos de 13 millones 330,551 de usuarios mexicanos de Facebook estuvieron a la venta en internet desde agosto del 2019 y ahora, dos años después, se encuentran disponibles de manera gratuita. Esos datos personales forman parte de los 550 millones de registros de Facebook que el usuario TomLiner comenzó a ofrecer de forma gratuita el 3 de abril en el foro RaidForums y que incluyen nombres de los titulares de datos, números telefónicos, localización geográfica, fechas de cumpleaños, ocupaciones, estatus de relación sentimental, fecha de creación de la cuenta y correos electrónicos.

“Hola a la Comunidad de RaidForums, hoy he subido una fuga de datos de Facebook para que la descarguen de forma gratuita, gracias por la lectura y disfruten”, escribió TomLiner en su entrada de RaidForums, para luego contar la historia de la información:  

“En agosto de 2019, la plataforma de redes sociales Facebook sufrió una gran fuga de información de usuarios a través de una vulnerabilidad que fue explotada y que permitió que la información de 533 millones de sus usuarios fuera extraída y luego publicada”, escribió TomLiner. En total, la fuga consiste en 77.3 gigabytes de información y 10.4 gigabytes de información comprimida con registros sobre usuarios de 160 países, incluido México.

Quien extrajo la información usó una vulnerabilidad sobre una funcionalidad de Facebook que permitía buscar a amigos de los usuarios a partir de su correo electrónico o teléfono registrados en la carpeta de contactos del dispositivo. Con estos datos, el ciberdelicuente puso en acción una técnica de automatización llamada scrapping, con la que vinculaba los datos que había obtenido con la información de los usuarios, que aunque era pública, no había sido concentrada en una base de datos única.   

Facebook desestimó la gravedad de la exposición de la información al responder que “estos datos son antiguos y fueron reportados en 2019. Detectamos y solucionamos el caso en agosto de 2019”, dijo a El Economista un representante de la compañía en México. Facebook actualizó su plataforma para solucionar la vulnerabilidad, pero la información ya había sido exfiltrada desde sus sistemas.

La autoridad de protección de datos personales en México (el Inai: Instituto Nacional de Acceso a la Información, Transparencia y Protección de Datos Personales), no respondió de forma inmediata a las solicitudes de El Economista para comentar sobre esta filtración de datos de Facebook.

Los precios de los datos bajan

La mayor parte de la información expuesta en RaidForums ha sido vendida y comprada a través de la red oscura (dark net) —la porción de internet que no está indexada por los servicios de búsqueda comerciales— y en distintos grupos de Telegram, a un precio de hasta 30,000 dólares por los 533 millones registros de usuarios de Facebook, según investigadores de seguridad consultados por El Economista.

En un principio quien tuvo acceso a esa información era sólo quien podía pagar por ella, pero luego la información comenzó a distribuirse de forma más aleatoria y a precios mucho más bajos, cree Hiram Alejandro Camarillo, investigador de Seguridad de la firma mexicana Seekurity.

“Es algo que pasa frecuentemente. Mucha de la información que se publica en los foros subterráneos de forma gratuita es información que alguien ya extrajo y por la cual obtuvo una cantidad suficiente de dinero. Después, buscan ganar reputación dentro de la comunidad con este tipo de publicaciones”, dijo Camarillo.

Para Miguel Ángel Mendoza, investigador de Seguridad de la firma de ciberseguridad ESET, aunque puede haber muchas razones por las que la información pase de ser vendida a ser regalada, como el que no se haya podido vender la información en los precios en los que se ofertaba o que la intención de la difusión de esta información hubiera cambiado, el tiempo es un factor relevante sobre el valor financiero de los datos.

“Al principio los datos tienen un precio alto y luego va bajando, dependiendo del tipo de información, hasta que se ofrecen de forma gratuita. El tiempo se convierte en un elemento importante para el precio de los datos”, dijo Mendoza de ESET, una compañía de ciberseguridad eslovaca fundada en 1992.

Ingeniería social, principal amenaza

Los ataques de ingeniería social son la principal amenaza que tienen los usuarios de Facebook que se hayan visto afectados por esta exposición, sobre todo si se toma en cuenta que, de acuerdo con Mendoza, el principal valor de la información expuesta es que asocia los números telefónicos y los correos electrónicos con las identidades de los usuarios, además de su fecha de nacimiento.

Los ataques dirigidos que aprovechan el uso que le dan los usuarios de Facebook a su número telefónico como elemento de un segundo factor de autenticación de la aplicación y el SIM swapping: el robo de identidad telefónica que permite a los delincuentes obtener tokens de acceso mediante su número telefónico y que pueden incidir en fraudes dentro de aplicaciones como las de servicios financieros.

Mendoza recomienda a los usuarios de Facebook cambiar la contraseña para acceder a su cuenta o aplicación, no reutilizar las contraseñas en otros servicios de la red y, sobre todo, no brindar toda la información que las plataformas de redes sociales solicitan, sino sólo aquella información básica y necesaria para recibir el servicio. 

“El valor y el precio de los datos no son lo mismo”, dijo Mendoza, lo que se demuestra con el hecho de que aunque para los usuarios su información puede ser muy valiosa, ésta se encuentra disponible de forma gratuita en internet.

rodrigo.riquelme@eleconomista.mx

kg