​Filtración de datos de Facebook: ¿qué deberíamos hacer ahora?

En los últimos días se ha revelado la filtración de los datos personales de aproximadamente 533 millones de usuarios de la red social, incluidos sus números de teléfono. Facebook confirmó la filtración argumentando que era el resultado de una vulnerabilidad subsanada en el pasado 2019. 

Si bien la vulnerabilidad y el robo pueden parecer noticias antiguas, este desarrollo de los hechos significa que los usuarios de Facebook cuyos datos fueron robados en 2019 están ahora en un riesgo mayor debido a la filtración y deben tomar medidas para protegerse.  

Los informes indican que los datos expuestos incluyen: números de teléfono, ID de Facebook, nombres completos, ubicaciones, cumpleaños, información biográfica y algunas direcciones de correo electrónico de usuarios de todo el mundo. Aquí puede encontrarse una lista del número de usuarios afectados por países. En el caso de España, la cifra ascienda a más de 10,8 millones de usuarios. 

La fuga de números de teléfono asociados a correos electrónicos es especialmente preocupante. Lo más probable es que para muchas personas esa combinación (email + móvil) sea la que utilicen para iniciar sesión con códigos basados en respuesta SMS en esas mismas cuentas de correo electrónico. Por lo tanto, esos usuarios corren un mayor riesgo de que los atacantes intenten llevar a cabo una acción de SIM Swapping para redirigir los códigos basados en SMS a dispositivos que estén bajo su control y obtener así acceso al correo electrónico del usuario objetivo. Dado que las cuentas de correo electrónico son el destino al que se dirigen las acciones para restablecer las contraseñas ("Olvidé mi contraseña"), esta es la forma más fácil, eficiente y efectiva para que los atacantes se apoderen de la vida digital de un usuario, primero secuestrando su correo electrónico y luego utilizándolo para apoderarse de sus otras cuentas. Este tipo de ataques, SIM Swapping, son cada vez más fáciles de llevar a cabo y se están multiplicando en la actualidad.  

Facebook no ha notificado esta vulnerabilidad a los usuarios cuyos datos han sido robados y no hay una forma sencilla y segura de saber si una determinada cuenta de usuario se ha visto afectada. Por ello, los usuarios con una cuenta de Facebook en 2019, deben asumir que sus datos se han perdido. Christopher Budd, Senior Global Threat Communications Manager de Avast, propone las siguientes medidas para aumentar la seguridad de la privacidad online:    

• Cambiar inmediatamente la cuenta de correo electrónico de solo contraseña, o códigos basados en contraseña y SMS, a una app de autenticación como las que ofrecen Microsoft y Google. El cambio a una aplicación de autenticación puede mitigar el riesgo de intercambio de SIM, eliminando el número de teléfono móvil/SMS de la ecuación por completo. 

• Aumentar la precaución con los mensajes SMS: Es difícil distinguir los mensajes SMS falsos de los legítimos porque hay poca información en los mensajes de texto. Por eso, la gente también se enfrenta a un mayor riesgo de intentos de phishing a través de mensajes de texto, a veces llamado SMishing, si sus datos se han visto filtrados.   

• Los objetivos potenciales de mayor valor, como los políticos, los trabajadores de la administración pública o los miembros de la policía o el ejército, deberían considerar la posibilidad de cambiar su número de teléfono y poner en marcha cualquier tipo de protección contra los cambios de número y de SIM.

Pasar a una aplicación de autenticación es una práctica cada vez más recomendada desde la comunidad de la ciberseguridad: los atacantes han encontrado formas eficaces de contrarrestar los códigos basados en SMS y por ello sus ataques son cada vez más fáciles y asequibles. Llegados a este punto, estamos realmente frente a una cuestión de "cuándo" la gente dará el paso de los códigos basados en SMS a las aplicaciones de autenticación. Este último robo de datos de Facebook puede y debe ser una motivación para que mucha gente lo haga cuanto antes.