A principios de 2021 un usuario de un foro de hacking anunció que había accedido a una base de datos de millones de cuentas de Facebook y creado una cuenta bot en Telegram que, a cambio de un pago, entregaba la información. El sábado 3 de abril, por algunas horas, esta base de datos fue publicada de forma gratuita.

La filtración era bastante más grande de lo que se esperaba: 533 millones de cuentas de 106 países con su correspondiente número de teléfono asociado. De ellas, 1.509.317 corresponden a usuarios uruguayos, entre los que hay senadores, académicos y un asesor presidencial. Varias de estas cuentas tenían, además del teléfono, el correo electrónico, la ubicación, la fecha de nacimiento y hasta el estado sentimental del afectado.

Medios de comunicación como Business Insider accedieron a la base de datos y comprobaron que, efectivamente, la información era real y pertenecía a personas que, al menos hasta 2019, tenían una cuenta en esa red social.

No es la primera vez que Facebook deja brechas en su sistema que permiten acceder a la información personal de los usuarios. Basta con recordar el caso de la compañía británica Cambridge Analytica, que obtuvo los datos personales de 80 millones de usuarios de Facebook y los utilizó para optimizar los anuncios de la campaña presidencial de Donald Trump en 2016.

Ahora, ¿qué se puede aprender de este nuevo caso? ¿Qué preguntas y respuestas nos deja esta filtración masiva?

Datos sensibles

La plataforma Have I Been Pwned, creada por el director regional de Microsoft en Australia, Troy Hunt, ayuda a los usuarios de internet a saber si sus datos personales fueron filtrados en alguna fuga de seguridad de las que todo el tiempo ocurren en diferentes plataformas.

Hasta la semana pasada sólo servía para comprobar si en las filtraciones se encontraba una dirección de correo electrónico. Sin embargo, con la extensa base de datos de usuarios de Facebook liberada el 3 de abril se añadieron los números de teléfono a la búsqueda.

Y es que así como entre los números filtrados se encontraba el del director ejecutivo de Facebook, Mark Zuckerberg. Personas públicas de otros países también fueron víctimas de la misma filtración.

En Uruguay, por ejemplo, la diaria pudo comprobar que entre los números revelados se encontraban los del senador de Cabildo Abierto Guido Manini Ríos, los senadores frenteamplistas Óscar Andrade y Claudia Hugo, la exdiputada colorada y actual vicepresidenta de OSE, Susana Montaner, y Nicolás Martinelli, asesor del presidente de la República. También periodistas de la diaria figuraban entre los filtrados.

Siempre sabe, nunca cuenta

Ni bien se supo que esta base de datos estaba disponible en internet, la directora de Comunicaciones y respuesta estratégica de Facebook, Liz Burgeois, dijo en Twitter que la filtración no era actual, sino que correspondía a “información antigua sobre la que se informó anteriormente en 2019”, y que en agosto de ese año se “solucionó el problema”.

Es cierto que en esa época se dio a conocer este problema en la seguridad de Facebook, pero nunca se indicó qué tantas cuentas se habían visto afectadas. Si a fines de 2019 Facebook contaba con 2.258 millones de usuarios registrados, entonces 24% de ellos fueron víctimas de esta filtración. Sin embargo, la compañía creada por Zuckerberg lo sabía y no hizo nada al respecto.

Además, el hecho de que los ejecutivos de la empresa salgan a restar importancia a este suceso por “viejo” tampoco habla bien de la seriedad con que se toman la privacidad de sus usuarios. Parecen no estar notando que el problema no es que se conozcan los nombres de las cuentas sino sus teléfonos, algo que no cambia tan seguido para considerar que estos datos se hayan vuelto obsoletos dos años después.

A eso apuntó el sábado Alon Gal, director de Tecnologías de la empresa de ciberseguridad Hudson Rock y creador del blog Under the Breach, que investiga y monitorea crímenes cibernéticos, cuando explicó en su Twitter que la liberación de estos datos deja a los usuarios expuestos a ser víctimas de spam, estafas o hackeos mediante el uso de ingeniería social.

¿Qué hacer?

Tanto si un número de teléfono o una dirección de correo electrónico fue filtrado en alguna violación de seguridad dentro de una plataforma como si no, se recomienda a los usuarios que utilicen diferentes contraseñas para cada cuenta y que traten de hacerlas lo más fuertes posible (no letras o números de corrido, no cumpleaños, no la dirección de una casa o trabajo).

También se recomienda, cuando las plataformas lo permiten, activar la verificación de identidad en dos pasos, para reforzar la seguridad de la cuenta.