Facebook sufre el mayor y más significativo volcado de datos en su historia. Detalles de cuentas en manos de ciberdelincuentes y anunciantes sin escrúpulos

Información personal de más de 1.500 millones de usuarios de Facebook vendidos en el foro de hackers denunció Miklos Zoltan de Privacy Affairs – Asuntos de Privacidad-, portal especializo en ciberseguridad.

En su portal Privacy Affairs publicó hoy una minuciosa investigación donde indica que información privada y personal de más de 1.500 millones de usuarios de Facebook se vende en un foro popular de piratería.

«…, lo que permite a los ciberdelincuentes y anunciantes sin escrúpulos dirigirse a los usuarios de Internet en todo el mundo«, señaló Zoltan.

Miklos fundó Privacy Affairs en 2018 para brindar educación en ciberseguridad y privacidad de datos.

Con relación a los datos de Facebook señaló «esto constituye el mayor y más significativo volcado de datos de Facebook hasta la fecha».

De hecho, en tiempo real, aclara que «esto no tiene nada que ver con la interrupción global de Facebook experimentada el 4 de octubre de 2021».

Además dice que esta es información nueva que «aparentemente, no está relacionado con un volcado de datos de Facebook anterior de 2021».

Al respecto recordó que en 2021, 500 millones de usuarios se vieron afectados.

La explicación

Los raspadores de datos venden información personales «que contienen los usuarios: nombre, correo electrónico, número de teléfono, ubicación, sexo e ID de usuario».

Señala que hasta donde llegan sus investigaciones «los datos parecen ser auténticos» y que dichos datos personales fueron obtenidos mediante web scraping».

Además, señala que «los datos se pueden utilizar para ataques de suplantación de identidad y de apropiación de cuentas».

En la subasta

El especialista explica que a finales de septiembre de 2021, un usuario de un conocido foro de piratas informáticos publicó un anuncio.

En el mismo se «afirmaba poseer los datos personales de más de 1.500 millones de usuarios de Facebook».

«Los datos están actualmente a la venta en la plataforma del foro respectivo», puntualiza.

Dice además que «los compradores potenciales tienen la oportunidad de comprar todos los datos de una vez o en cantidades más pequeñas».

Un posible comprador afirma «haber recibido una cotización de $ 5,000 por los datos de 1 millón de cuentas de usuario de Facebook».

Según el cartel del foro, los datos a la venta son «Nombre, Correo electrónico, Localización, Género, Número de teléfono, ID de usuario».

En una actualización del post se comenta que «después de que se publicara inicialmente esta noticia, un usuario del foro afirmó que le pagó al vendedor pero no recibió nada a cambio».

«El vendedor aún no ha respondido a estas acusaciones», precisa Privacy Affairs.

Todo lo que sabemos en este momento «es que las múltiples muestras proporcionadas a los usuarios del foro parecían ser reales».

Son datos nuevos

Detalla que al cotejarlos con las filtraciones conocidas de la base de datos de Facebook, «no se obtuvieron coincidencias».

Ello implica a primera vista que «los datos de muestra proporcionados son únicos y no son un duplicado o una reventa de una violación o raspado de datos previamente conocido».

El vendedor afirma representar a un grupo de web scrapers en funcionamiento durante al menos cuatro años, detalla el portal.

El vendedor incluso alega «que han tenido más de 18.000 clientes durante este tiempo».

Información personal vendida 

Los comerciantes afirman haber obtenido los datos «raspando en lugar de piratear o comprometer las cuentas de usuarios individuales».

El raspado «es un proceso de extracción o recolección de datos web en el que se accede a los datos disponibles públicamente y se organizan en listas y bases de datos», dice Zoltan.

El portal precisa que técnicamente «no se ha comprometido ninguna cuenta».

Sin embargo puntualiza que «esto es poco consuelo para aquellos cuyos datos ahora pueden terminar en manos de comerciantes de Internet sin escrúpulos»

E incluso dichos datos pueden caer «probablemente también en manos de ciberdelincuentes».

Los especialistas en marketing poco éticos «pueden utilizar estos datos para bombardear a individuos o grupos de individuos específicos con publicidad no solicitada».

El hecho de que los números de teléfono, la ubicación real y los nombres completos de los usuarios estén incluidos en los datos es especialmente preocupante, indicó.

Además, el correo no deseado por SMS y notificaciones push «es cada vez más frecuente a pesar de que la mayoría de los países ilegalizaron estas prácticas hace muchos años«.

La ruta del crimen

Los datos se pueden utilizar para poner en peligro la seguridad de los usuarios, añade.

Por ejemplo, dice «los piratas informáticos pueden utilizar los datos extraídos para realizar sofisticados ataques de phishing o ataques de ingeniería social«.

La identificación de los números de teléfono de los usuarios individuales hace posible que los ciberdelincuentes envíen mensajes SMS falsos a los usuarios afectados.

Esto, fingiendo «ser varias entidades como el propio Facebook o incluso bancos».

Luego, se invitará a los usuarios «a hacer clic en un enlace para reclamar un premio, actualizar su configuración de seguridad, cambiar sus contraseñas o hacer algo similar».

La detallada descripción de la ruta criminal indica que luego, «después de acceder al enlace, serán redirigidos a una versión clonada del sitio web».

Mismo «que los perpetradores pretenden representar.» Después, «si el usuario ingresa su contraseña actual real, los ciberdelincuentes podrán secuestrar la cuenta afectada».

Así es como las cuentas de Facebook e incluso «los inicios de sesión bancarios en línea se venden en la web oscura por tan solo 10 dólares».

El raspado

El raspado, «es el proceso de recopilar automáticamente datos en línea disponibles y accesibles al público con la ayuda de programas informáticos».

Desafortunadamente, precisa, «la gran mayoría de la información personal es compartida libremente y puesta a disposición del público en general por los propios usuarios de Facebook».

Otro método popular, pero ilegal, «de extracción de datos es a través de encuestas o cuestionarios falsos en Facebook», indica.

Al respecto alerta sobre publicación como «Descubre a tu parecido de Game of Thrones con esta encuesta» o «Haz este cuestionario para averiguar cuándo te casarás».

Por lo general, estos «son esquemas para obtener datos personales de los usuarios», dice.

Cada vez que alguien ingresa a una de estas encuestas o cuestionarios, permite ver su información personal de Facebook», alerta.

Mejorar la seguridad

Se aconseja a los usuarios de Facebook que mejoren su seguridad, indica Miklos Zoltan.

Por lo general, «no se recomienda que los usuarios de Facebook configuren sus cuentas para que sean completamente públicas».

De manera similar, «nunca se debe ingresar a cuestionarios, encuestas o juegos aleatorios en Facebook a menos que lo ofrezca un editor conocido y verificado».

Finalmente puntualiza, «casi siempre, estos son, «lamentablemente, esquemas utilizados para la minería y el desguace de datos».