La falla de seguridad revelada el viernes 28 de septiembre por Facebook, que le valió la apertura de una investigación por parte del regulador irlandés, afectó a casi un centenar de millones de usuarios en el mundo.
¿Qué pasó?
Según Facebook, los hackers aprovecharon la conjunción de varios errores (bugs) que datan de julio de 2017 y estaban alojados en la función «Ver como», que permite ver el perfil propio tal como lo ve otro usuario.
En algunos casos, el uso de esta función generó «por error» claves de conexión digitales, llamadas «tokens de acceso», que son los que permiten mantenerse conectado sin tener que ingresar la contraseña cada vez.
Los piratas informáticos lograron apropiarse de estas claves, que dan acceso a las cuentas como si fuéramos los titulares.
El 16 de septiembre, Facebook vio un aumento inusual en el número de conexiones y decidió investigar. El 25 de septiembre, descubrió el ataque y la falla. El grupo ha declinado decir cuánto duró el ataque.
¿Para qué se hizo?
Debido a que podían acceder a las cuentas como si fueran los propietarios, potencialmente los hackers podían ver toda la información e incluso modificarla, publicar, comentar…
Facebook dijo que no saben exactamente para qué accedieron los hackers o si hicieron algo con las informaciones.
Según los primeros hallazgos, los piratas informáticos no parecieron acceder a mensajes privados ni postear publicaciones. Las contraseñas no estuvieron comprometidas y tampoco la información bancaria.
A menudo sucede que los piratas informáticos revenden información en la «dark web», una parte oculta de internet cuyo contenido no está indexado por los motores de búsqueda.
¿Quiénes se vieron afectados?
«Hasta 50 millones de cuentas» se vieron directamente afectadas, lo que significa que los hackers obtuvieron sus claves de acceso. Según la Comisión Europea, hay alrededor de 5 millones de usuarios europeos.
Hay incertidumbre aún acerca de 40 millones de cuentas más, en las cuales se ha utilizado la función «Ver como» en el último año.
Los hackers también pudieron usar el mismo subterfugio para acceder a cuentas de Messenger e Instagram (ambos también propiedad del grupo) que estaban vinculadas a las cuentas de Facebook afectadas. En cambio, la tercera plataforma del grupo, WhatsApp, no se vio afectada.
En teoría, los piratas informáticos también han podido utilizar estas claves para conectarse a sitios y aplicaciones externas a las cuales uno puede conectarse a través de sus credenciales de Facebook, lo que abre un acceso potencial a una cantidad de información difícil de cuantificar.
Sin embargo, Facebook aseguró el martes que ninguna señal ha indicado que realmente accedieran a estos perfiles externos.
¿Qué medidas se tomaron?
El grupo dijo que reparó la falla la noche del 27 de septiembre y advirtió al FBI, así como al regulador del sector en Irlanda, país donde se encuentra su sede europea.
A partir de la noche del 27, el grupo ha reiniciado por precaución los tokens de acceso de los 90 millones de cuentas afectadas con certeza o potencialmente, para lo cual cerró las sesiones, lo que obligó a los usuarios a volver a conectarse introduciendo su contraseña. También recibieron un mensaje en sus noticias.
Facebook suspendió la función «Ver como».
¿A qué se arriesga Facebook?
Es difícil responder a esta pregunta, que gira en torno a dos puntos y depende de una gran variable de leyes y regulaciones: ¿Facebook ha desprotegido los datos de sus clientes? ¿Les informó demasiado tarde?
En Estados Unidos, a nivel federal, es la Comisión Federal de Comercio (FTC, siglas en inglés) la responsable de verificar si las compañías han protegido de manera deficiente la información personal de sus clientes contra la piratería. Puede imponer multas.
Los datos personales también pueden estar protegidos por leyes a nivel estatal, más o menos vinculantes. Todos los estados ahora están obligados a revelar cualquier fuga de datos.
Las autoridades estatales o particulares pueden entablar acciones legales para reclamar por daños.
En Europa, desde que se creó en mayo el reglamento europeo sobre la protección de datos (RGPD), las empresas pueden ser multadas hasta por un 4% de su facturación anual global si no cumplen con las normas, lo que en el caso de Facebook se traduciría en 1.600 millones de dólares.
El grupo parece, en cualquier caso, haber cumplido el plazo europeo de 72 horas máximo para hacer pública una filtración de datos.