¿Qué pasó?
El pasado 3 de abril se publicó en Business Insider que un usuario de un foro de hacking compartió información personal de más de 500 millones de usuarios de Facebook, incluyendo números de teléfono, correos electrónicos, última localización, estado sentimental y algunos datos más. Es importante prestar atención a este tipo de situaciones porque esta información puede ser utilizada para fines políticos, comerciales o suplantación de identidad, por ejemplo.
Una manera de comprobar si nuestro número de teléfono ha sido parte de ese filtrado de datos es haciendo uso de HaveIBeenPwned ingresando nuestro número de teléfono en formato internacional. Esto quiere decir que si nuestro número en Perú es 987654321, debemos agregarle el +51 por delante y hacer la consulta como se muestra en la imagen. Puedes consultar el código de tu país en esta web.
¿Cómo sucedió?
De acuerdo al comunicado oficial de Facebook este filtrado es resultado de un ataque del año 2019. La empresa menciona también que estos datos no son producto de un ataque o brecha directos hacia los sistemas de Facebook sino que se obtuvieron haciendo scraping al sitio. Un método que facilitó el scraping fue una antigua característica de la aplicación móvil que permitía ver quién de tus contactos de la agenda telefónica estaba en Facebook haciendo la búsqueda por su número celular. Esta característica fue dada de baja en abril del 2018.
¿Qué hago ahora?
Lo primero, es entender que este filtrado abarca solo una parte de la información que tenías en Facebook y solo a un grupo de usuarios. En su mayoría, los datos filtrados no incluyen el correo electrónico pero el dato que sí está presente es el número de teléfono registrado en la plataforma. Estos datos pueden ser aprovechados potencialmente para cometer llamadas fraudulentas o poniéndonos en un punto de vulnerabilidad ante phishing. El poder de esta base de datos también puede ser aprovechado incluso desde un punto de vista político, ya que es posible contratar un servicio de envío de SMS masivo con mensajes apoyando a un candidato o desprestigiando a otro.
Independientemente de si tu cuenta ha sido afectada o no. Lo mejor es adoptar algunos hábitos para protegerla como por ejemplo configurar la opción de cómo otras personas en Facebook pueden encontrarnos o también activar un método de autenticación en dos pasos. No necesariamente debes cambiar tu contraseña pero si está relacionada a algún dato personal como apellido o cumpleaños tuyo siempre es recomendable hacerlo o hacer uso de los gestores de contraseñas. Los gestores que te podemos recomendar y los más utilizados son 1Password, LastPass, LockWise o si prefieres uno open-source también puedes utilizar BitWarden.
Conclusión
La próxima vez que una aplicación nos pida acceder a nuestra lista de contactos o nos pidan una verificación de por número de teléfono, deberíamos pensarlo bien y si el objetivo de esta validación está justificado. En el contexto peruano, lamentablemente para obtener un chip debemos pasar por validación biométrica, lo que pondría a las personas en un punto vulnerable al existir esta correlación directa ya que otras personas pueden tomar ventaja de esa información (marketing).
Director de Tecnología
MSc. Inteligencia Artificial Universidad Politécnica de Madrid
BSc. Ciencia de la Computación Universidad Nacional de Ingeniería
Un comentario