Apenas unos días después de que los datos personales de 533 millones de usuarios de Facebook se publicaran de forma gratuita en un foro de piratería, una filtración muy similar ha afectado a los miembros de LinkedIn, la red social especializada en los contactos y relaciones profesionales propiedad de Microsoft. En el caso de esta plataforma son también unos 500 los millones de usuarios afectados: sus datos personales han sido puestos a la venta en un portal de hacking a cambio de un “precio mínimo de cuatro dígitos”, afirma el usuario que publicó la oferta.
“Aunque todavía estamos investigando este asunto, el conjunto de datos publicado parece incluir información públicamente visible que fue extraída de LinkedIn combinada con datos agregados de otros sitios web o empresas”, ha explicado una portavoz de la red social a elDiario.es. Entre la información filtrada están los nombres completos de los usuarios, género, números de teléfono, emails, el enlace a su perfil de LinkedIn, enlaces a otras redes sociales que tenga vinculadas a esta plataforma, así como datos de su perfil profesional, como títulos académicos y experiencia laboral.
A la espera de que LinkedIn ofrezca más detalles sobre la filtración, todo parece indicar que el método empleado para compilar este archivo ha sido el scrapping de los datos de la plataforma. Este sistema emplea herramientas automatizadas para extraer información de una web de manera sistemática. Las redes sociales prohíben lanzarlas contra sus plataformas para evitar que se generen bases de datos como la que ahora ha salido a la venta, lo que significa que LinkedIn habría sufrido algún tipo de agujero de seguridad que los hackers aprovecharon para recopilar los datos de sus usuarios.
Aunque todavía estamos investigando este asunto, el conjunto de datos publicado parece incluir información públicamente visible que fue extraída de LinkedIn combinada con datos agregados de otros sitios web o empresas
“El scrapeo de los datos de nuestros miembros desde LinkedIn infringe nuestras condiciones de servicio y trabajamos constantemente para proteger a nuestros miembros y sus datos”, ha asegurado la misma portavoz.
Para probar la autenticidad del archivo, el hacker que lo ha puesto a la venta permite el acceso a lotes de datos personales de dos millones de usuarios a cambio de 2 dólares. “El autor de la publicación afirma que los datos fueron scrapeados de LinkedIn. Nuestro equipo de investigación ha podido confirmarlo analizando las muestras proporcionadas en el foro de hackers. Sin embargo, no está claro si el actor del ataque está vendiendo perfiles actualizados de LinkedIn, o si los datos han sido tomados o agregados de una brecha anterior sufrida por LinkedIn u otras empresas”, destaca Cybernews, el portal especializado en ciberseguridad que ha revelado que los datos habían sido puestos a la venta.
Si la información que contiene el archivo es nueva, la pauta en este tipo de filtraciones suele ser explotarlas comercialmente lo máximo posible. El ciberdelincuente lo vende a todos los interesados, que a su vez lo revenden si encuentran compradores, ya sea completa o troceada por grupos, como por países o por trabajadores de una determinada empresa. Conforme pasa el tiempo y más ojos acceden a ella, va perdiendo valor. En el caso de la filtración de los 533 millones de usuarios de Facebook, el archivo llevaba a la venta al menos dos años hasta que un usuario anónimo lo ha terminado colgando gratuitamente.
El scrapeo no consentido fue también el método de recolección de los datos filtrados de Facebook. La compañía de Mark Zuckerberg ha reconocido que sufrió una vulnerabilidad en su herramienta para buscar personas a partir de su número de teléfono, una funcionalidad que tuvo activa tanto en Facebook como en Instagram y que tuvo que ser deshabilitar tras el ataque. En su caso la brecha ha expuesto nombres, números de teléfono, emails, género, fecha de nacimiento, lugar de residencia, estado civil o puesto de trabajo.
Aunque el scrapeo de datos de redes sociales no permite acceder a información sensible como las contraseñas o los mensajes privados, el hecho de poder acumular tantos detalles de la vida digital de una persona provoca que sean un recurso muy preciado para realizar ciberataques. “Siempre hay que revisar qué tipo de información ha quedado expuesta, porque con un número de teléfono o un correo electrónico se pueden preparar ataques mucho más dirigidos. Si además se cuenta con la ubicación, nombre completo o fecha de nacimiento se pueden añadir factores de veracidad a ese ataque para que la víctima caiga en la trampa mucho más fácilmente”, explicaba recientemente a este medio Ruth García, del Instituto Nacional de Ciberseguridad.
De hecho, tanto la filtración de Facebook como en la de LinkedIn incluyen los denominados Facebook ID y LinkedIn ID, identificadores que las redes sociales asignan a cada usuario y que no cambian aunque este cambie su nombre o cualquier otro dato de su biografía, convirtiéndolos en el método más útil para rastrear su actividad a lo largo de largos períodos de tiempo.
Para evitar los riesgos asociados a este tipo de filtraciones, los expertos recomiendan no utilizar siempre los mismos datos (como correo electrónico o nombre de usuario) en todos los servicios, y por supuesto utilizar diferentes contraseñas en cada uno de ellos. Esto dificulta que los ciberdelincuentes puedan cruzar información entre unas bases de datos filtradas y otras. Si se emplea la misma contraseña o una clave similar en todas las plataformas, con que esta quede expuesta en una sola brecha de seguridad todos los servicios online de ese usuario quedarían en estado de alto riesgo.
Otro de los consejos es revisar periódicamente los servicios que alertan si alguno de nuestros datos personales ha quedado expuesta. El más recomendado esHave I Been Pwned?, desarrollado por un directivo de Microsoft. Desde hace algunas horas, esta base de datos de brechas de seguridad ya permite buscar si nuestro correo electrónico ha resultado comprometido en la gran filtración que ha afectado a Facebook, aunque por el momento no en la de LinkedIn.