En la historia quedó escrito que el 4 de octubre de 2021 el mundo tuvo un apagón, que hubo una desconexión: Facebook y las plataformas de su propiedad estuvieron inhabilitadas por cerca de ocho horas. Más de 3.500 millones de usuarios (la mitad de la población mundial) no pudo acceder a estos servicios.
En medio del caos y la incertidumbre que provocó esta caída global, circularon grandes cantidades de desinformación. Se habló, sin pruebas, que detrás de todo hubo un hackeo o que se trató de una filtración masiva de datos, afirmaciones que la compañía desmintió.
Santosh Janardhan, vicepresidente de infraestructura de Facebook, en el blog corporativo, dijo: “Hemos hecho un trabajo extensivo para endurecer nuestros sistemas y dificultar el acceso no autorizado, y fue interesante ver cómo ese trabajo dificultó la recuperación de nuestros sistemas tras un episodio que no fue causado por una actividad maliciosa, sino por un error propio”.
Entonces lo que sucedió el pasado lunes no fue producto de un ciberataque, lo que ocurrió fue que durante los trabajos habituales de mantenimiento de la infraestructura digital de Facebook se presentó un error de configuración en la red troncal que coordina el tráfico de red entre sus data centers, un problema que se fue replicando en los equipos de la red.
Sobre la demora para restaurar el problema, la empresa afirmó que fue lenta porque era difícil conectarse de manera remota. “Cada falla es una oportunidad para aprender y mejorar, y hay mucho que aprender de esta interrupción. Después de cada situación, grande o pequeña, hacemos un proceso de revisión exhaustivo para comprender cómo podemos mejorar la resiliencia de nuestros sistemas. Este proceso ya está activo”, agregó Janardhan.
Ante estas especulaciones alrededor de Facebook, surge la pregunta: ¿Qué alcance puede tener la información personal de los usuarios que llega a otros y luego es comercializada?
Vender los datos personales
Según el sitio web especializado en temas de privacidad de datos y ciberseguridad, privacyaffairs.com, el pasado 22 de septiembre un usuario que participaba en un foro virtual de hackers publicó que tenía para la venta una base de datos que supuestamente contiene datos personales de 1.500 millones de usuarios de Facebook, los cuales fueron recolectados mediante una técnica conocida como scraping.
Martina López, especialista en Seguridad Informática del Laboratorio Eset, explica que este método lo que hace es extraer la información de sitios web de forma masiva y mediante scripts automatizados (código que se programa para que realice una acción determinada de forma automática).
“El scraping suele ser utilizado no solo por cibercriminales, sino también con objetivos publicitarios. Es importante remarcar que no se trata de una brecha o robo de datos, sino de una recopilación de información que cada usuario afectado dispone como pública y accesible por cualquier persona que visite el sitio”.
Según la experta, los datos comprometidos se pueden clasificar en dos categorías distintas: en la primera están aquellos que son públicos por la estructura de la red social (por ejemplo, el nombre y apellido del usuario en el caso de Facebook); mientras que en la segunda está la información que es pública por configuración propia del usuario, es decir, aquí entran los datos más sensibles como la geolocalización y números de teléfono.
Riesgos y peligros
¿Qué puede pasar cuando a un usuario le roban la información personal mediante la técnica scraping? De acuerdo con López, pueden ser aprovechados por los equipos de ciberdelincuentes de varias maneras. “Quienes vean su información comprometida en recolecciones o brechas de datos similares suelen ser más propensos a recibir engaños dirigidos y más sofisticados, utilizando los datos recolectados más allá del correo electrónico, así como campañas de phishing regulares, campañas de vishing (estafa a través de llamadas telefónicas), campañas de spam”.
Es decir, pueden utilizar el nombre de la persona y la dirección de correo electrónico para, por ejemplo, enviar correos falsos con el objetivo de robar credenciales de acceso (usuarios y contraseñas), hurtar datos financieros (claves de cuentas bancarias) o convencer a las posibles víctimas a que descarguen programas maliciosos y los instalen en los dispositivos electrónicos.
Internet y las redes sociales tienen caminos, algunos oscuros, por los que hay que andar con cuidado. Por eso es importante cuidar los pasos.