El escándalo de ciberseguridad más grande de 2021 en realidad no es de 2021. Esta semana los titulares de todos los medios notificaban que datos de 533 millones de cuentas de Facebook (sobre un total 2.300 millones), habían sido expuestos en un archivo de texto plano al que podía acceder cualquiera.
IDs de Facebook, ubicación, nombres, número de teléfono y, en 2 millones de estas cuentas, incluso el correo electrónico. Un menú perfecto para que con una base de datos así se puedan hacer decenas de vulneraciones, robos de identidad o estafas en línea. Aquí te contamos cómo saber si tu cuenta fue vulnerada, y deberías tomar medidas como cambiar contraseña o borrar tu número de móvil de inmediato.
Sin embargo, como te hemos contado en Hipertextual, esta fuga de datos no ha surgido en realidad en 2021. Los datos, según ha explicado Facebook de forma muy superficial, fueron extraídos a través de scraping usando su propia API entre 2018 y 2019. El fallo que permitía extraer estos datos fue solucionado por Facebook en 2019. Sin embargo, desde entonces han estado dando vueltas a la venta, hasta que ahora, ya en 2021, han aparecido disponibles para todo el mundo a través de un fichero de texto plano. De las cuentas afectadas, se estima que unos 11 millones estaban en España y 13 en México.
¿Y el GDPR?
Las dudas ahora se ciernen en cómo actuará la actual legislación sobre Facebook ante el fallo. La compañía de Mark Zuckerberg se ha excusado diciendo que la filtración masiva se produjo antes de abril de 2018, justo antes de que entrara en vigor el GDPR o RGPD europeo. ¿Mucha casualidad? Por ahora, la Agencia Irlandesa de Protección de Datos parece que abrirá una investigación. Facebook hasta ahora no ha sufrido sanciones en firme por la normativa de privacidad europea, pero sí que ha reservado 77 millones en su filial irlandesa de WhatsApp por un asunto anterior de traslado de datos a sus servidores en Estados Unidos, y se ha enfrentado a una millonaria sanción de 5.000 millones también en territorio norteamericano.
Analistas especializados en privacidad, como Glyn Moody, ya elucubran sobre cómo la actuación del GDPR en este caso puede marcar un antes y un después. En principio, un portavoz de Facebook contaba a Reuters esta semana que no tienen en mente notificar a los usuarios europeos vulnerados, dado que según ellos la brecha se produjo antes de la entrada en vigor de la norma.
Más de 1,5 mil millones de impactos en datos en la historia de Facebook
Con esto encima de la mesa, hemos querido hacer un repaso al largo historia de brechas de seguridad que ha sufrido Facebook en sus 15 años de historia. Al menos, las que se han conocido.
Solo en 2019 hubo filtraciones que impactaron en 1,5 mil millones de cuentas, más de la mitad del total
Antes de empezar el recorrido, dos apuntes. En primer lugar, solo en 2019 hubo filtraciones que impactaron en 1,5 mil millones de cuentas, más de la mitad. Es imposible conocer qué porcentajes de estas -fueron varios episodios- afectaron a las mismas cuentas en repetidas ocasiones, así que no se puede asegurar que más de la mitad de las cuentas de Facebook han sido víctimas de alguna filtración; pero sí que aquellos usuarios registrados durante 2019 tienen un 50% de posibilidades de haberse visto afectados en mayor o menor medida.
El segundo apunte: es importante diferenciar entre hackeos y brechas de datos como estas, que se desprenden de fallos de seguridad en los sistemas de Facebook. Incluso Cambridge Analytica, el caso de ataque a la privacidad más mediático de la historia y que dejó a Facebook trastocado, tiene más de fallo de seguridad que de cualquier tipo de hackeo, ya que sus promotores se valieron de agujeros que dejaba en ese momento la restricción de contactos y acceso a terceros que tenía configurada la plataforma.
Un repaso a las grandes filtraciones de datos (conocidas) que ha sufrido Facebook
Los inicios: todo por los primeros anunciantes
Con la privacidad como un concepto todavía improbable en las prácticas de Facebook y de cualquier proyecto similar, el equipo de Zuckerberg lanza en 2007 ‘Beacon’, un producto diseñado para ayudar a los anunciantes a conocer mejor a su audiencia mediante el seguimiento de sus movimientos en otros sitios web.
Esta función incumple la Ley de Protección de la Privacidad del Vídeo en Estados Unidos, y Facebook se ve obligado a resolver una demanda colectiva de 9,5 millones de dólares presentada por los usuarios afectados.
2009: “Publicar como privado”, ¡Ups!
Facebook publica información marcada como privada en las páginas de los usuarios. Una investigación de la Comisión Federal de Comercio de Estados Unidos obliga a Facebook a pedir disculpas y a prometer una mejor gestión y protección de los datos personales.
2013 - 6 millones de cuentas expuestas
En junio de 2013, Facebook descubrió que un error había estado exponiendo los datos personales de 6 millones de usuarios durante más de un año. Los números de teléfono y las direcciones de correo electrónico de los usuarios estaban expuestos, y cualquiera que conociera al menos un dato de contacto o que tuviera algún tipo de conexión con la persona podía acceder a ellos.
El fallo técnico comenzó supuestamente en 2012, pero no se advirtió hasta 2013. Facebook corrigió el fallo y, al parecer, informó de la filtración a los reguladores y a los afectados antes de anunciarla públicamente.
Mayo de 2018 - 14 millones de usuarios compartiendo sus datos privados sin saber
De nuevo, un fallo interno de Facebook hizo que lo que supuestamente sus usuarios pensaba que publicaban o registraban como privado se hiciera público.
Un fallo en el sistema en mayo de 2018 hizo que las publicaciones normalmente privadas de 14 millones de usuarios se compartieran públicamente sin su conocimiento o consentimiento.
El fallo solo estuvo activo durante cinco días, y Facebook rápidamente devolvió todas las publicaciones a su configuración de privacidad.
Septiembre de 2018 – Entre 50 y 90 millones de personas afectadas por el login con Facebook
Poco después de conocerse el del escándalo de Cambridge Analytica, Facebook sufrió su segunda violación de datos. En septiembre de 2018, se anunció públicamente que mediante una brecha se habían expuesto datos de entre 50 y 90 millones de usuarios. Los hackers o las personas que tenían acceso a esa información derivada de un fallo de seguridad podían ver todo lo que había en el perfil de un usuario. Facebook también confirmó que los sitios de terceros en los que esos usuarios iniciaban sesión con sus cuentas de Facebook también podrían verse afectados. Un efecto dominó en toda regla.
Facebook comenzó a investigar un par de semanas antes del anuncio, cuando notó picos inusualmente altos de acceso a las cuentas de los usuarios. La situación resultó ser muy compleja y se basó en tres fallos distintos de la plataforma relacionados con una función de Facebook que permite a las personas ver el aspecto de su perfil como lo ve otro usuario.
En respuesta, Facebook cerró la sesión de 90 millones de usuarios en todas las plataformas y les pidió que volvieran a iniciar sesión y a restablecer sus contraseñas. La función "Ver como" fue desactivada temporalmente.
2019, el año horrible para Facebook y sus usuarios
Marzo de 2019 - Otros 600 millones de usuarios expuestos por contraseñas guardadas como una lista de la compra
La primera brecha de datos de Facebook de 2019 fue enorme. En marzo, el experto en ciberseguridad Brian Krebs informó de que Facebook almacenaba cientos de millones de contraseñas de usuarios en archivos de texto plano. Solo los empleados podían acceder a estos archivos, pero eso sigue significando que las contraseñas de las cuentas eran accesibles para más de 2.000 empleados de Facebook. Facebook no divulgó por qué o cómo se habían almacenado las contraseñas de los usuarios de esa manera.
Un mes después, se reveló que millones de usuarios de Instagram también se habían visto afectados; sus contraseñas también se habían almacenado en texto plano. Facebook reiteró que las contraseñas no habían sido comprometidas ni utilizadas indebidamente de ninguna manera. Todavía se desconoce el número total de usuarios de Facebook e Instagram afectados (ya que Facebook se ha negado a hacer comentarios), pero se estima que son al menos 600 millones, aunque la cifra real es probablemente mucho mayor.
Abril de 2019 - 540 millones de usuarios expuestos. El origen del escándalo de 2021
Llegamos al momento relacionado con el actual escándalo. En abril, se descubrió que cientos de millones de registros de usuarios de Facebook estaban en un servidor público. Los investigadores de la firma de seguridad UpGuard descubrieron la brecha, y se pusieron en contacto con la empresa que alojaba el servidor. Se cree que esta vulnerabilidad estaba relacionada con el scrapping de datos masivo.
Se desconoce exactamente durante cuánto tiempo estuvieron expuestos los registros de los usuarios, o si alguien consiguió aprovecharse de la situación. Los datos sólo se hicieron privados después de que Facebook se diera cuenta de la situación.
Septiembre de 2019 - 419 millones de usuarios de nuevo en un servidor público
Volvió a ocurrir algo parecido apenas unos meses después. De nuevo cada registro contenía el ID único de Facebook de un usuario y el número de teléfono que figuraba en la cuenta. En algunos casos, también aparecían los nombres completos, el género y la ubicación de los usuarios.
Facebook no era el propietario del servidor, y no está claro a quién pertenecía. No sabemos quién sacó la información de los sistemas de Facebook ni por qué, pero solo un empleado o un hacker podría tener ese nivel de acceso. El servidor fue retirado, y queda por ver si alguien se ha visto afectado por esta brecha.
Diciembre de 2019 – otros 309 millones de cuentas afectadas
Más de 300 millones de números de teléfono, nombres e identificaciones de usuarios de Facebook quedaron desprotegidos en la dark web durante casi dos semanas. El experto en seguridad Bob Diachenko, que descubrió la brecha, informó que fue el resultado de una operación ilegal de scraping o abuso de la API de Facebook por parte de hackers en Vietnam.
La estimación de los afectados fue originalmente de 267 millones. Sin embargo, en marzo de 2020 se descubrió que un segundo servidor que contenía otros 42 millones de registros fue expuesto por el mismo grupo criminal, lo que elevó el total a 309 millones. Una vez más, se desconoce si alguien se vio afectado por la brecha, pero definitivamente puso a los usuarios en riesgo de sufrir ataques de spam y phishing.