Asociación de Internautas

Logo 1

La brecha de seguridad de Facebook abre la puerta a ciberataques dirigidos a cualquier usuario de la red social


En los últimos días se ha sabido que la información de más de 533 millones de usuarios de Facebook en 106 países ha quedado expuesta online y de forma gratuita después de que se publicara en un foro de "hackers" de bajo nivel.


Luis Javier Sánchez - CONFILEGAL - Esta brecha de seguridad ha afectado a unos 11 millones de cuentas en España que, entre otros datos personales, revelan números de teléfono, nombres, ubicaciones, fechas de nacimiento y direcciones de correo electrónico almacenadas en esta red social.

Según ha podido saber Confilegal, los datos de la brecha se han publicado gratuitamente ahora en un foro de "hacking", pero llevan meses vendiéndose incluso en "bots" de Telegram.

Mientras tanto los reguladores de protección de datos toman posiciones. No se descarta que en los próximos días se inicie un procedimiento transfronterizo donde la autoridad irlandesa de protección de datos, donde está ubicado Facebook en Europa, lo inicie en colaboración con otros reguladores.

De momento tanto la Comisión de Protección de Datos irlandesa (DPC), como la autoridad de protección de datos de Turquía han abierto investigaciones al respecto.
Vulneración del RGPD

En opinión de Paz Martín, abogada y socia directora de "Legal Things", recuerda que Facebook ya tenía un precedente "escabroso" con el caso Cambridge Analytics. "Sin embargo, en esta ocasión parece que ha sido víctima de un ataque que ha explotado una vulnerabilidad de su sistema, vulnerabilidad dicen antigua pero cuyos efectos han sido devastadores".

En cuanto a las consecuencias que puede tener para esta compañía, "desde el punto de vista de la protección de los datos personales y en particular en la Unión Europea puede verse expuesta a una millonaria sanción (o incluso a más de una)".

"Estamos claramente ante lo que el Reglamento General del Protección de Datos (RGPD) denomina "violación de seguridad" y lógicamente lo primero que debería haber hecho es ponerlo en conocimiento de las autoridades de protección de datos en el plazo de 72 horas desde que se tuvo conocimiento de la citada brecha", comenta.

Esta jurista señala que no tenemos constancia de que lo haya hecho en el plazo indicado pues la brecha, al parecer, se produjo hace algún tiempo. "Por este simple hecho, el RGPD contempla la posibilidad de sancionar", advierte.

De hecho, las sanciones del RGPD en su escala más grave pueden ser de hasta 20 millones de euros o hasta el 4% de su facturación si se trata de una empresa, se imponen si se ha vulnerado los derechos de usuario.

Sin embargo, las sanciones, en estos casos, no son automáticas. Solo si la brecha trae causa de una deficiente seguridad por parte de Facebook o ausencia de responsabilidad proactiva podría derivarse una sanción. La mayoría de las brechas provienen de ataques externos y constituyen delitos.

Para Martín, "la autoridad de control que asuma el procedimiento deberá llevar a cabo una investigación para comprobar lo sucedido. Bien es cierto que el volumen de interesados y datos personales comprometidos no ayuda".

El daño es grande, los datos se han filtrado ya en la "dark web" y se encuentran a disposición de cualquiera. «No obstante ya hemos podido comprobar en anteriores ocasiones que no hay medida de seguridad impenetrable".

"De momento, solo la autoridad de control de Irlanda se ha pronunciado sobre este tema a través de un comunicado de prensa. Además de la investigación de oficio podría encabezar otro nivel europeo", advierte esta experta.

"Es lo que se denomina como procedimiento de cooperación entre autoridades de control contemplado en el propio RGPD al igual que ha sucedido con otras brechas similares (British Airways o Marriot Hotels). De momento, nada se dice al respecto".

También señala que "en algún país latinoamericano ya se están preparando demandas colectivas. El problema sin duda es mundial".

Esta jurista cree que las próximas semanas se irán ampliando las explicaciones a lo sucedido y sobre todo tendrá que dilucidarse si Facebook realmente ha hecho dejación de sus obligaciones de vigilancia y responsabilidad proactiva, o por el contrario, ha sido una víctima más del "lado oscuro".
Investigar de oficio este tema

Desde la Asociación de Internautas, su presidenta Ofelia Tejerina, señala que muchos ciudadanos han contactado con la asociación para saber si estaban o no en la brecha. "Ya hay portales que permiten conocer si estás en esta brecha. El resto pueden ser un engaño para utilizar los datos de terceros".

"Creo que tanto la autoridad española de protección de datos, como la propia autoridad europea, en colaboración con el Supervisor Europeo de Protección de Datos tienen razones suficientes para realizar una investigación de oficio de este asunto", subraya.

"Es tremendo lo que ha ocurrido y habrá que ver su repercusión en el futuro. Los ciudadanos poco podemos hacer ante este tipo de gigantes tecnológicos".

A este respecto, "en lo concerniente a Europa estaríamos hablando de una posible infracción grave y una multa cuantiosa siguiendo los parámetros del RGPD europeo que en mayo cumple tres años de vigencia. El problema de las sanciones es si será lo suficientemente importante para que esto no vuelva a ocurrir".

El hecho de que Facebook sea reincidente genera la sensación que le diera igual estos temas, "tienen la información guardada, pero sin las medidas de seguridad oportuna, por lo que vemos en los últimos años. El concepto de responsabilidad proactiva que emana del propio RGPD parece que no lo tienen en cuenta", advierte.

Para esta experta "ahora lo que ha ocurrido es que esa filtración de datos ponen en peligro a los usuarios de Facebook. Los estafadores al tener información de lo que nos gusta o no y datos de contacto pueden generar ataques personalizados a cada usuario".

Recuerda que este tipo de brechas masivas de seguridad obligan a ser muy conservador en redes sociales en cuanto a la información que uno abre para este tipo de comunidades, "no hay que entregar tanta información personal de uno en un solo lugar. Nos exponemos a que lo utilicen personas con malas intenciones".

Desde su punto de vista, "contar con una privacidad proactiva debería ser un signo distintivo de las empresas. Y los propios consumidores rechazar cualquier relación con empresas o entidades que no protegieran los datos personales de terceros. De esa forma seguramente harían los deberes y se lo tomarían en serio".
Unos datos al alcance de todos

Julio San José, abogado y experto en tecnología, creador del portal decano tecnológico Derechodelared.com, fue uno de los primeros que en redes sociales dio la voz de alarma ante lo que se avecinaba. "Lo primero que muchos han hecho ha sido consultar si estábamos o no en esa brecha. También hemos conocido la visión de Facebook que habla de una brecha antigua del 2019".

Este experto señala que "lo sorprendente de esta situación es que cuando se tienen ese tipo de datos se venden. Los ciberdelincuentes quieren ganar dinero. Sin embargo, estos datos estaban gratuitos para que cualquier persona se los pudiera descargar y darle el uso que quisiera".

También nos aclara que los ciberdelincuentes solo se mueven por dinero, "es su negocio y se dedican a ello. Que sea una brecha de 533 millones de usuarios publicada por un usuario es lo más sorprendente del asunto", afirma.

La brecha se ha podido consultar desde un listado que estaba por países, en un archivo de p2P que se podía descargar. "El hecho de entrar y descargar para verte a ti mismo no incumples ninguna normativa de protección de datos y estas amparado por el RGPD, siempre no le vas a dar un uso comercial".

Y es que San José aclara que "hay gente que aprovecha estas filtraciones para hacer "mailings" masivos con esta información ajena que consiguen por una u otra manera".

En cuanto a lo que deben hacer las personas afectadas, este profesional señala que "lo primero cambiar de contraseña, aunque sea básico. Ya no es la de Facebook. Si tenemos esa contraseña en otros servicios hay que cambiarla también en el resto. Ya hubo ataques a Spotify, rellenar los datos y con esa brecha tienes el correo y contraseña pruebas si esté el usuario para vulnerar su cuenta".

En cuanto a la afectación de la brecha a otras aplicaciones de Facebook como Whataspp o Instragram, explica que "en principio, no afecta directamente, las cuentas que se han filtrado son servicios distintos, aunque provengan de la misma matriz. Al final tenemos una cuenta diferente. El problema es si tenemos la misma contraseña en todos los servicios de Facebook, alguien puede intentar entrar en nuestras otras aplicaciones".

Otra cuestión que plantea es poner un segundo factor de autentificación en los servicios que tengamos. "Hay que introducir una segunda clave y es más seguro. Tendrían que vulnerar un dispositivo móvil. Y estar pendiente de si nos llegan correos o sms de remitentes extraños".

En España se calcula que podrían estar afectados cerca de 11 millones de usuarios. De ese total, no más de 76.000 personas al parecer habían visto su correo electrónico expuesto.
Una información expuesta al público

Deepak Daswani, experto en ciberseguridad y hacker, que opera desde Tenerife a nivel nacional, conoce bien el mundo de las brechas de seguridad, de actualidad en los últimos diez años en nuestro país. Desde su punto de vista no hay una diferencia concreta entre esta brecha de seguridad y otras.

"Llevamos asistiendo a diferentes brechas de seguridad. Una de las más importantes fue en el 2013 la de Adobe con 38 millones de usuarios y se han sucediendo. En el 2019 en enero una filtración llamada Collection 1 que aglutinaba cuentas de Dropbox, Amazon, Gmail acumuladas".

Este experto recuerda que Facebook ha tenido distintos incidentes de ciberseguridad en los últimos años, "nadie puede garantizar la seguridad cien por cien. Los servicios de Gmail y Google se cayeron también, igual paso con la SER, Adeslas, Everis o Telefónica".

Sobre Facebook  subraya que "da la sensación que tienen medidas laxas de seguridad. Ya pasÓ con Cambridge Analytica, donde había problema para asegurar permisos a los desarrolladores de aplicaciones".

Hablamos de una brecha de seguridad del 2019, "se ha expuesto de forma pública con tantas identidades, números de teléfonos es lo que hace que más llame la atención de los usuarios".

En este contexto considera que "si los ciberdelincuentes tienen esa información pueden lanzar señuelos basados en ingeniería social de manera más ajustada. Veremos el impacto dentro de un tiempo".

Sobre dónde comprobar si estás en esa brecha de seguridad, este experto sugiere algunos portales, que se pueden consultar aquí y aquí. "Cuidado porque otros similares pueden ser falsos y podemos ser atacados de nuevo", apunta.

En cuanto a los consejos que da este tecnólogo a las personas afectadas señala que "hay que estar alerta, por si les pueden llamar con cualquier tema y solicitar información o enviar credenciales sospechosas. Hay que desconfiar por norma".

"No pinchar enlace sms, llamadas que se puedan recibir, revisar las opciones de privacidad en Facebook y todas las redes. Poner la mínima información posible en dichas redes sociales. Hay que evitar que los ciberdelincuentes actúen".

"Puedes compartir lo que quieras. Hay que ser consciente de lo que uno puede compartir. Se debe ser prudente. Los usuarios deben ser prudentes y no caer en los señuelos".