La información de más de 533 millones de usuarios de Facebook en 106 países ha quedado expuesta online y de forma gratuita después de que se publicara en un foro de hackers de bajo nivel. Esta filtración ha afectado a unos 11 millones de cuentas en España que, entre otros datos personales, revela números de teléfono, nombres, ubicaciones, fechas de nacimiento y direcciones de correo electrónico almacenadas en esta red social.
Otros países afectados son Egipto (44 millones de registros de usuarios), Túnez (39 millones), Estados Unidos (32 millones y Reino Unido (11 millones).
Fuentes próximas a Facebook han señalado que “se trata de datos antiguos que se informaron previamente en 2019”.
En 2019, los números de teléfono de más de 419 millones de usuarios de Facebook (inicialmente) fueron descubiertos en línea en una base de datos en línea no garantizada. La base de datos incluía el nombre real, el país y el sexo de muchos usuarios. Se encontró que los piratas informáticos fueron capaces de robar los datos de los usuarios mediante la explotación de una vulnerabilidad de Facebook, que permitió a cualquier persona descubrir el número de teléfono vinculado con un ID de Facebook o viceversa.
A principios de este año, Alon Gal, cofundador de la firma de ciberseguridad Hudson Rock, afirmó que un hacker estaba usando un bot de Telegram para vender los números de teléfono de los usuarios de Facebook, o los documentos de usuario de Facebook vinculados con un número de teléfono conocido. El bot permitió a los usuarios consultar la base de datos por una tarifa de 20 dólares, lo que les permitió encontrar los números de teléfono vinculados a una gran parte de las cuentas de Facebook.
Smishing, una nueva amenaza colateral
Desde Proofpoint, advierten que esta brecha de seguridad de Facebook desencadenará sin duda un notable aumento de los ataques de smishing (una variante de phishing en la que se emplean mensajes de texto o sms). “Es una tendencia en cuanto a amenazas que hemos visto crecer especialmente durante la pandemia y que, en los últimos 12 meses, se ha ido incrementando un 300% cada trimestre”, señala Jacinta Tobin, vicepresidenta de Cloudmark Operations en Proofpoint. Aunque los atacantes suelen tener principalmente como objetivo a consumidores, se ha observado una subida preocupante de estos ataques a organizaciones, con más de un 81% empresas reportando algún incidente de este tipo en 2020. En el caso de España, precisamente, en una encuesta realizada por Proofpoint el año pasado, solo un 29% de profesionales conoce qué es el smishing, mientras que un 51% afirmaba no saber de qué se trata esta amenaza y un 20% falló a la hora de dar una definición de la misma.
