La falla de seguridad en Facebook: qué, cómo, quiénes, para qué

El 28 de septiembre último se produjo una falla masiva en la seguridad de la red social que afectó a 50 millones de usuarios de todo el mundo.

La falla de seguridad revelada el viernes 28 de septiembre por Facebook, que le valió la apertura de una investigación por parte del regulador irlandés, afectó a casi un centenar de millones de usuarios en el mundo. 

¿Qué pasó?

Según Facebook, los hackers aprovecharon la conjunción de varios errores (bugs) que datan de julio de 2017 y estaban alojados en la función «Ver como», que permite ver el perfil propio tal como lo ve otro usuario. 

En algunos casos, el uso de esta función generó «por error» claves de conexión digitales, llamadas «tokens de acceso», que son los que permiten mantenerse conectado sin tener que ingresar la contraseña cada vez. 

Los piratas informáticos lograron apropiarse de estas claves, que dan acceso a las cuentas como si fuéramos los titulares. 

El 16 de septiembre, Facebook vio un aumento inusual en el número de conexiones y decidió investigar. El 25 de septiembre, descubrió  el ataque y la falla. El grupo ha declinado decir cuánto duró el ataque. 

¿Para qué se hizo?

Debido a que podían acceder a las cuentas como si fueran los propietarios, potencialmente los hackers podían ver toda la información e incluso modificarla, publicar, comentar… 

Facebook dijo que no saben exactamente para qué accedieron los hackers o si hicieron algo con las informaciones. 

Según los primeros hallazgos, los piratas informáticos no parecieron acceder a mensajes privados ni postear publicaciones. Las contraseñas no estuvieron comprometidas y tampoco la información bancaria. 

A menudo sucede que los piratas informáticos revenden información en la «dark web», una parte oculta de internet cuyo contenido no está indexado por los motores de búsqueda. 

¿Quiénes se vieron afectados?

«Hasta 50 millones de cuentas» se vieron directamente afectadas, lo que significa que los hackers obtuvieron sus claves de acceso. Según la Comisión Europea, hay alrededor de 5 millones de usuarios europeos. 

Hay incertidumbre aún acerca de 40 millones de cuentas más, en las cuales se ha utilizado la función «Ver como» en el último año. 

Los hackers también pudieron usar el mismo subterfugio para acceder a cuentas de Messenger e Instagram (ambos también propiedad del grupo) que estaban vinculadas a las cuentas de Facebook afectadas. En cambio, la tercera plataforma del grupo, WhatsApp, no se vio afectada. 

En teoría, los piratas informáticos también han podido utilizar estas claves para conectarse a sitios y aplicaciones externas a las cuales uno puede conectarse a través de sus credenciales de Facebook, lo que abre un acceso potencial a una cantidad de información difícil de cuantificar. 

Sin embargo, Facebook aseguró el martes que ninguna señal ha indicado que realmente accedieran a estos perfiles externos. 

¿Qué medidas se tomaron?

El grupo dijo que reparó la falla la noche del 27 de septiembre y advirtió al FBI, así como al regulador del sector en Irlanda, país donde se encuentra su sede europea. 

A partir de la noche del 27, el grupo ha reiniciado por precaución los tokens de acceso de los 90 millones de cuentas afectadas con certeza o potencialmente, para lo cual cerró las sesiones, lo que obligó a los usuarios a volver a conectarse introduciendo su contraseña. También recibieron un mensaje en sus noticias. 

Facebook suspendió la función «Ver como». 

¿A qué se arriesga Facebook?

Es difícil responder a esta pregunta, que gira en torno a dos puntos y depende de una gran variable de leyes y regulaciones: ¿Facebook ha desprotegido los datos de sus clientes? ¿Les informó demasiado tarde? 

En Estados Unidos, a nivel federal, es la Comisión Federal de Comercio (FTC, siglas en inglés) la responsable de verificar si las compañías han protegido de manera deficiente la información personal de sus clientes contra la piratería. Puede imponer multas. 

Los datos personales también pueden estar protegidos por leyes a nivel estatal, más o menos vinculantes. Todos los estados ahora están obligados a revelar cualquier fuga de datos. 

Las autoridades estatales o particulares pueden entablar acciones legales para reclamar por daños. 

En Europa, desde que se creó en mayo el reglamento europeo sobre la protección de datos (RGPD), las empresas pueden ser multadas hasta por un 4% de su facturación anual global si no cumplen con las normas, lo que en el caso de Facebook se traduciría en 1.600 millones de dólares. 

El grupo parece, en cualquier caso, haber cumplido el plazo europeo de 72 horas máximo para hacer pública una filtración de datos.

Compartir

Declaran María Cantero, ex secretaria de Alberto Fernández, y el broker Martínez Sosa

El matrimonio está acusado de estar involucrado en el supuesto esquema de corrupción armado en…

57 segundos hace

Petro anunció que Colombia pedirá visa a los británicos, por reciprocidad

El Reino Unido recuperó la obligatoriedad del visado para los colombianos, dos años después de…

9 mins hace

Caso Loan: piden prisión preventiva para los 7 detenidos

En paralelo, continuarán los rastrillajes en zonas que no fueron aún analizadas.

16 mins hace

Acto en solidaridad con la lucha palestina

Militantes políticos, sociales y de derechos humanos se dieron cita en la embajada del Estado…

18 mins hace

Paro y movilización de enfermeros en hospitales porteños

Reclaman la inclusión de la actividad como profesional de la salud. La medida se extiende…

21 mins hace

De salida, Borrell advierte que Israel fue «colonizado» por el extremismo

El Alto Representante de la Unión Europea para Política Exterior, dice que el actual es…

35 mins hace

Más de un millón de ucranianos sin luz por un ataque ruso a plantas de energía

Temen quedarse sin energía para el invierno. Por la guerra, casi la mitad de la…

39 mins hace

Presentan un nuevo adelanto de la precuela de «Dexter» que llega en diciembre

El proyecto protagonizado por Patrick Gibson se adentra en los orígenes del personaje de médico…

40 mins hace

Diputados aprobó en general la iniciativa contra la ludopatía, que plantea fuertes restricciones a la publicidad

La iniciativa prohíbe que los menores realicen apuestas en las plataformas en línea y la…

12 horas hace

Otra señal de alerta sobre la recesión: la producción de acero cayó casi 22%

Datos alarmantes de la Cámara del sector. La producción en baja encuentra una de las…

14 horas hace

No la ve: la calificadora Moody’s no se anima a mejorar la calificación de la deuda argentina

Pese al superávit fiscal y la tranquilidad cambiaria, la agencia cree que puede haber "algún…

14 horas hace

Milei plantó a la UIA pero les prometió insistir con la reforma laboral del mega DNU 70/23

El secretario de Producción, Juan Pazo, se acercó comenzada la Conferencia para anunciar la inminente…

14 horas hace