¿Cómo puede utilizar un ciberdelincuente los datos filtrados de Facebook y LinkedIn para atacarte?
La reaparición de los datos de más de 530 millones de usuarios de Facebook, en un foro de ciberdelincuentes amenaza con dar comienzo a una oleada de ciberataques contra quienes han visto su información al descubierto.
A pesar de que la filtración, que fue reportada y solucionada en 2019, no contenía información especialmente sensible, como contraseñas, ha puesto a disposición del cibercrimen datos suficientes del internauta para comenzar a lanzar ataques mucho más dirigidos. Entre ellos, números de teléfono, ID de la cuenta de la red social, correos electrónicos, nombres completos, fechas de nacimiento y ubicaciones. Algo similar pasó en LinkedIn.
Veamos el caso de la siguiente persona:
Nombre: Mark. Apellido: Zuckerberg. Género: masculino. Fecha de nacimiento: 14/5/1984. Estado civil: casado. Residencia actual: Palo Alto, California. Residencia Anterior: Dobbs Ferry, Nueva York. Empleo: Chan Zuckerberg Initiative. Teléfono: xxxxxxxxx. Identidad de usuario en Facebook: 4.
Los datos personales de Mark Zuckerberg están disponibles gratuitamente para todo aquel que quiera descargarlos desde este fin de semana. Los suyos y los de 533 millones de usuarios de Facebook más, colgados en un foro de piratería tras pasar casi un par de años a la venta. Durante ese tiempo su precio ha ido reduciéndose conforme más compradores accedían a ellos, hasta que finalmente un usuario anónimo ha decidido colgar la filtración completa.
La filtración incluye 12 campos de información, aunque no todos están completos en todos los usuarios. Además de los citados, también aparecen otros como el correo electrónico. Cada uno aparece representado como una línea de texto en un código similar al que introduce este texto.
El único dato que está presente en todos los usuarios es el número de teléfono. Esa fue la vía que se usó para extraer y compilar la información, según ha comunicado Facebook.
La red social asegura que sufrió el ataque de un software malicioso que aprovechaba una vulnerabilidad en su herramienta para encontrar a otros usuarios de la plataforma a partir de su número de teléfono.
Este software era capaz de engañar al sistema de la red social para, a base de ir introduciendo números de teléfono, conectar a qué usuario pertenecía cada uno, así como recopilar parte de su información pública.
La compañía de Zuckerberg asegura que corrigió la situación en agosto de 2019 y que desactivó la herramienta de buscar a personas a través de su número de teléfono tanto en Facebook como en Instagram, donde también estaba presente.
Pese a que Facebook destaca que la información filtrada tiene como mínimo unos dos años de antigüedad y que no presenta datos sensibles (como la contraseña de las cuentas o mensajes privados), se teme que la enorme cantidad de registros pueda desatar una oleada de ciberataques. "Da miedo el nivel al que permite segmentar", avisa Marc Almeida, experto en ciberseguridad.
Aunque el imaginario colectivo sigue dibujando a los ciberdelicuentes como genios del código capaces de romper cualquier sistema, lo cierto es que la gran mayoría de los ciberataques no recurren a la fuerza bruta informática. Al contrario, se basan en "atacar al eslabón más débil de la cadena", recuerda Almeida, que es "el factor humano".
No hace falta abrir un agjero en un programa informático si es su usuario el que abre la puerta. Para ese tipo de ciberataques la filtración de los datos cientos de millones de usuarios de Facebook puede ser una mina de oro.
Ingeniería social
Recurriendo a ejemplos audiovisuales del mundo físico: las películas de la saga Ocean's narran atracos contra casinos mediante complicados planes que aprovechan todos sus fallos de seguridad para colarse subrepticiamente en sus cámaras acorazadas.
Por contrario, la serie Lupin relata cómo es posible llegar hasta los lugares vedados de un museo usando tan solo un disfraz de portero. Esta última táctica se conoce como ingeniería social y es especialmente frecuente en los delitos por Internet.
Los ataques de ingeniería social se basan en manipular y engañar a la víctima para ganarse su confianza y que facilite contraseñas o claves privadas, acceda a webs trampa, compre en portales fraudulentos o descargue archivos maliciosos.
Uno de los más comunes es el phishing, en el que los ciberdelincuentes suplantan una identidad, normalmente de una institución pública, un banco o una gran empresa para llevar a cabo estos objetivos.
Su método de contacto preferido es el correo electrónico, pero los mensajes SMS y a través de WhatsApp están ganando peso conforme más números de teléfono aparecen en filtraciones como la de Facebook. Almeida avisa de que el hecho de que la filtración no se base en datos nuevos "importa poco" en lo relativo a segmentar usuarios o realizar ataques de ingeniería social.
Recuerda que entre los campos que incluye la filtración está el ID de Facebook, que permite identificar a un usuario aunque este cambie su nombre, su número de teléfono o el email por el que le tiene registrado la red social. "Para muchas empresas, saber tu ID de Facebook tiene más valor que tu DNI, porque es la forma en la que te identifican", expone.
Utilizar distintos correos y revisar si las cuentas han sido comprometidas
Este tipo de filtraciones nunca deben pasarse por alto bajo la creencia de que los datos personales no son valiosos o "no tengo nada que ocultar". "Los usuarios siempre tienden a pensar que su información no es relevante, que no le puede interesar a nadie, pero nada más lejos de la realidad", avisa Ruth García, técnico del área de Ciberseguridad para Ciudadanos del Instituto Nacional de Ciberseguridad (Incibe) español, al diario digital ElDiario.es.
"Siempre hay que revisar qué tipo de información ha quedado expuesta, porque con un número de teléfono o un correo electrónico se pueden preparar ataques mucho más dirigidos. Si además se cuenta con la ubicación, nombre completo o fecha de nacimiento se pueden añadir factores de veracidad a ese ataque para que la víctima caiga en la trampa mucho más fácilmente", detalla la experta.
Otros posibles usos son la creación de perfiles falsos para suplantar a usuarios concretos haciendo uso de los datos filtrados, "con los que intentar realizar delitos en tu nombre o intentar manchar la reputación de una persona o una empresa concreta", añade.
La situación se complica aún más si se tiene en cuenta que es fácil que los ciberdelincuentes puedan acceder a más de una base de datos hackeada y cruzar las referencias que encuentren en ellas.
Por ello, desde el Incibe recomiendan que, en la medida de lo posible, no se utilicen los mismos correos a la hora de registrarse en todas las aplicaciones y servicios. También, cambiar el nombre o el nick que se da en ellos para evitar ese cruce de datos.
"Esta precaución es útil especialmente con las apps nuevas que se ponen de moda muy rápidamente. Suelen ser plataformas más vulnerables y conviene no utilizar los mismos datos que con servicios a través de los que se hacen pagos", aconseja García.
Por último, la experta recomienda revisar periódicamente herramientas como Have I Been Pwned?, que revisan las bases de datos hackeadas conocidas y avisan si un determinado correo electrónico se ha visto comprometido en ellos. Troy Hunt, creador de la herramienta y alto directivo de Microsoft, ha avanzado que tras la gran filtración de Facebook está trabajando para hacer que el sistema funcione también con números de teléfono.