Nombre: Mark. Apellido: Zuckerberg. Género: masculino. Fecha de nacimiento: 14/5/1984. Estado civil: casado. Residencia actual: Palo Alto, California. Residencia Anterior: Dobbs Ferry, Nueva York. Empleo: Chan Zuckerberg Initiative. Teléfono: xxxxxxxxx. Identidad de usuario en Facebook: 4.
Los datos personales de Mark Zuckerberg están disponibles gratuitamente para todo aquel que quiera descargarlos desde este fin de semana. Los suyos y los de 533 millones de usuarios de Facebook más, colgados en un foro de piratería tras pasar casi un par de años a la venta. Durante ese tiempo su precio ha ido reduciéndose conforme más compradores accedían a ellos, hasta que finalmente un usuario anónimo ha decidido colgar la filtración completa. Entre los datos hay más de 10,8 millones de cuentas que fijan su residencia en España.
La filtración incluye 12 campos de información, aunque no todos están completos en todos los usuarios. Además de los citados, también aparecen otros como el correo electrónico. Cada uno aparece representado como una línea de texto en un código similar al que introduce este texto.
El único dato que está presente en todos los usuarios es el número de teléfono. Esa fue la vía que se usó para extraer y compilar la información, según ha comunicado Facebook. La red social asegura que sufrió el ataque de un software malicioso que aprovechaba una vulnerabilidad en su herramienta para encontrar a otros usuarios de la plataforma a partir de su número de teléfono. Este software era capaz de engañar al sistema de la red social para, a base de ir introduciendo números de teléfono, conectar a qué usuario pertenecía cada uno, así como recopilar parte de su información pública.
La compañía de Zuckerberg asegura que corrigió la situación en agosto de 2019 y que desactivó la herramienta de buscar a personas a través de su número de teléfono tanto en Facebook como en Instagram, donde también estaba presente. “Se trata de datos antiguos de los que ya informamos en 2019. Encontramos y solucionamos este problema en agosto de 2019”, reitera una portavoz de la compañía en un escueto comunicado remitido a este medio.
Pese a que Facebook destaca que la información filtrada tiene como mínimo unos dos años de antigüedad y que no presenta datos sensibles (como la contraseña de las cuentas o mensajes privados), se teme que la enorme cantidad de registros pueda desatar una oleada de ciberataques. “Da miedo el nivel al que permite segmentar”, avisa Marc Almeida, experto en ciberseguridad.
Aunque el imaginario colectivo sigue dibujando a los ciberdelicuentes como genios del código capaces de romper cualquier sistema, lo cierto es que la gran mayoría de los ciberataques no recurren a la fuerza bruta informática. Al contrario, se basan en “atacar al eslabón más débil de la cadena”, recuerda Almeida, que es “el factor humano”. No hace falta abrir un butrón en un programa informático si es su usuario el que abre la puerta. Para ese tipo de ciberataques la filtración de los datos cientos de millones de usuarios de Facebook puede ser una mina de oro.
Ingeniería social
Recurriendo a ejemplos audiovisuales del mundo físico: las películas de la saga Ocean's narran atracos contra casinos mediante complicados planes que aprovechan todos sus fallos de seguridad para colarse subrepticiamente en sus cámaras acorazadas. Por contra, la serie Lupin relata cómo es posible llegar hasta los lugares vedados de un museo usando tan solo un disfraz de bedel. Esta última táctica se conoce como ingeniería social y es especialmente frecuente en los delitos por Internet.
Los ataques de ingeniería social se basan en manipular y engañar a la víctima para ganarse su confianza y que facilite contraseñas o claves privadas, acceda a webs trampa, compre en portales fraudulentos o descargue archivos maliciosos. Uno de los más comunes es el phishing, en el que los ciberdelincuentes suplantan una identidad, normalmente de una institución pública, un banco o una gran empresa para llevar a cabo estos objetivos. Su método de contacto preferido es el correo electrónico, pero los mensajes SMS y a través de WhatsApp están ganando peso conforme más números de teléfono aparecen en filtraciones como la de Facebook.
La gigantesca base de datos de los usuarios de Facebook filtrada este fin de semana representa una oportunidad para lanzar más y mejores ganchos. “Por ejemplo, yo una de las búsquedas más sencillas que hice fue segmentar por Salou. Me dio un resultado de 1.300 personas. Empecé a ver los trabajos de la gente y cuadraba que muchos de ellos trabajaban en Port Aventura y en los hoteles de la zona. Imagínate que 300 trabajan en el parque. Usando esa información ahora tienes 300 vectores de ataque, y pasa lo mismo con cualquier otra empresa”, explica Almeida, uno de los primeros especialistas que accedió a los datos colgados en el foro de piratería y los contrastó: “Hasta ahora todo lo que he podido ver parece bastante verídico”.
El experto avisa, además, de que el hecho de que la filtración no se base en datos nuevos “importa poco” en lo relativo a segmentar usuarios o realizar ataques de ingeniería social. Recuerda que entre los campos que incluye la filtración está el ID de Facebook, que permite identificar a un usuario aunque este cambie su nombre, su número de teléfono o el email por el que le tiene registrado la red social. “Para muchas empresas, saber tu ID de Facebook tiene más valor que tu DNI, porque es la forma en la que te identifican”, expone.
Utilizar distintos correos y revisar si las cuentas han sido comprometidas
elDiario.es ha contactado con el Instituto Nacional de Ciberseguridad (Incibe) para preguntar por esta filtración, que ha respondido que todavía no puede posicionarse debido a que las pesquisas de sus analistas sobre su origen y alcance siguen en marcha. No obstante, recuerda que este tipo de filtraciones nunca deben pasarse por alto bajo la creencia de que los datos personales no son valiosos o “no tengo nada que ocultar”. “Los usuarios siempre tienden a pensar que su información no es relevante, que no le puede interesar a nadie, pero nada más lejos de la realidad”, avisa Ruth García, técnico del área de Ciberseguridad para Ciudadanos del organismo.
“Siempre hay que revisar qué tipo de información ha quedado expuesta, porque con un número de teléfono o un correo electrónico se pueden preparar ataques mucho más dirigidos. Si además se cuenta con la ubicación, nombre completo o fecha de nacimiento se pueden añadir factores de veracidad a ese ataque para que la víctima caiga en la trampa mucho más fácilmente”, detalla la experta. Otros posibles usos son la creación de perfiles falsos para suplantar a usuarios concretos haciendo uso de los datos filtrados, “con los que intentar realizar delitos en tu nombre o intentar manchar la reputación de una persona o una empresa concreta”, añade.
Con la ubicación, nombre completo o fecha de nacimiento se pueden añadir factores de veracidad a ese ataque para que la víctima caiga en la trampa mucho más fácilmente
La situación se complica aún más si se tiene en cuenta que es fácil que los ciberdelincuentes puedan acceder a más de una base de datos hackeada y cruzar las referencias que encuentren en ellas. Por ello, desde el Incibe recomiendan que, en la medida de lo posible, no se utilicen los mismos correos a la hora de registrarse en todas las aplicaciones y servicios. También, cambiar el nombre o el nick que se da en ellos para evitar ese cruce de datos. “Esta precaución es útil especialmente con las apps nuevas que se ponen de moda muy rápidamente. Suelen ser plataformas más vulnerables y conviene no utilizar los mismos datos que con servicios a través de los que se hacen pagos”, aconseja García.
Por último, la experta recomienda revisar periódicamente herramientas como Have I Been Pwned?, que revisan las bases de datos hackeadas conocidas y avisan si un determinado correo electrónico se ha visto comprometido en ellos. Troy Hunt, creador de la herramienta y alto directivo de Microsoft, ha avanzado que tras la gran filtración de Facebook está trabajando para hacer que el sistema funcione también con números de teléfono.