CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

¿Cuánto valen 220 millones de números telefónicos de usuarios de Facebook? US$1,000

Al menos una compañía intentó vender la base de datos.

facebook-logo-1

Números telefónicos e identificaciones de usuarios de Facebook estuvieron a la venta en un foro en Internet en mayo, descubrió un investigador. 

Angela Lang/CNET

Una enorme base de datos que contenía los números telefónicos vinculados a perfiles de Facebook, así como la identificación de los usuarios fue puesta a la venta en línea, según investigadores. La lista de contactos, que contenía información de millones de personas, fue publicada y puesta a la venta en un foro en Internet.

El precio por la base de datos de usuarios de Facebook era de US$1,000.

Elliot Murray, presidente ejecutivo de la compañía de seguridad WebProtect, encontró información a la venta en un foro en Internet en mayo pasado. Murray cree que es la misma base de datos que TechCrunch reportó el pasado miércoles 4 de septiembre, la cual fue encontrada por el experto en ciberseguridad Sanyam Jain. La lista, misma que Facebook indicó que contenía datos antiguos obtenidos mediante una función que ya no existe, fue publicada en un foto de Internet por un vendedor de Vietnam, quien indicó haber hecho la base de datos con fines de mercadeo.  

Según Murray, los datos obtenidos estaban dando vueltas por la Web y terminaron en un servidor no protegido. Esta información estuvo en las manos de al menos una persona que vio su potencial de mercadeo y la oportunidad de hacer dinero. En abril de 2018, Facebook reconoció que una de sus funciones —la cual permitía a cualquier usuarios hacer una búsqueda mediante un número teléfonico para encontrar a otro usuario— había sido utilizada para obtener de forma maliciosa los números de teléfono de los usuarios. Durante este lapso, los números también estaban visibles en el perfil de los usuarios. 

Una vocera de Facebook reiteró que los datos eran antiguos y que habían sido obtenidos antes de que el gigante de tecnología deshabilitara dicha herramienta. Asimismo, la vocera agregó que la compañía calculaba que unos 220 millones de usuarios habían sido afectados. 

Con respecto a la venta de los datos, la vocera dijo en un comunicado que la extracción de datos en la Web es "un desafío ppara la industria entera" y añadió que "en este caso, tal como lo anunciamos en abril de 2018, los números telefónicos fueron obtenidos violando nuestras políticas. Es por eso que eliminamos la herramienta para encontrar amigos mediante sus números de teléfono, porque descubrimos que actores maliciosos abusaron de dicha función".

La revelación de que la información había sido puesta en venta y subida a un servidor no seguro, es un ejemplo de la larga vida que pueden tener este tipo de actos y de lo poco que pueden hacer las empresas para resguardar los datos una vez que perdieron el control. Incluso luego de que la información fue bajada de la Web, volvieron a aparecer en otro servidor no seguro.

Los datos expuestos colocan a los usuarios en riesgo de ser víctimas de estafas telefónicas y otro tipo de fraudes, dijo Eva Velasquez, presidenta ejecutiva del Centro de Recursos de Robo de Identidad (Identity Theft Resource Center). Es posible protegerse, cambiando los ajustes de privacidad de tus redes sociales, agregó Velasquez.

WebProtect llevó a cabo varios pasos para verificar la veracidad de los datos del vendedor sin comprarlos, explicó Murray. La compañía se dedica a encontrar información robada en los rincones más oscuros de Internet, mediante herramientas automáticas y a través de investigación humana. CNET cuenta con las capturas de pantalla de los intercambios entre el vendedor de la base de datos y WebProtect, aunque no fue posible verificar la autenticidad de la información. 

Meses después de haber descubierto que los datos estaban a la venta en un foro, los investigadores de WebProtect vieron que una base de datos similar había sido subida a un servidor sin protección de contraseña, dijo Murray. Esto quiere decir que cualquier persona con un buscador y la dirección IP correcta podía tener acceso a la base de datos. Murray comparó las dos bases de datos y determinó que eran las mismas. Asimismo, Murray considera que se trata de la misma base de datos desprotegida que TechCrunch reportó.

Murray alertó a Facebook sobre la venta de la información de sus usuarios mediante un programa de recompensas para encontrar bugs de la empresa.  

Aunque los datos robados podrían ser viejos, Murray dijo que muchas personas suelen conservar sus números telefónicos por largos períodos.

"Están ahí afuera ahora", dijo Murray sobre los números de teléfono. "Es algo que se va a quedar".

Este es el comunicado completo de Facebook sobre el tema: 

La extracción de información es una industria retadora y continúa siendo difícil de prevenir y, a menudo, es difícil de detectar una vez que ha sucedido. En este caso, tal como lo anunciamos en abril de 2018, los números telefónicos fueron obtenidos violando nuestras políticas. Es por eso que eliminamos la función de encontrar amigos usando sus números de teléfono porque descubrimos que los actores maliciosos abusaron de esta función. Como dijimos en ese momento, "dada la escala y la sofisticación de la actividad que habíamos visto, creíamos que a la mayoría de las personas en Facebook les robaron sus datos desde su perfil público de esta manera". Desde entonces, también hemos estado haciendo cambios en nuestras plataformas para reducir el riesgo de extracción de información".

Reproduciendo: Mira esto: Facebook anuncia su plan para un futuro enfocado en la...
9:07