Facebook dice que es tu culpa que los hackers tengan 500 millones de números telefónicos de sus usuarios

Una base de datos que contiene los números de teléfono de más de 500 millones de usuarios de Facebook se está comercializando libremente en línea, y Facebook está tratando de culpar a todos menos a ellos mismos.

Una publicación del martes 6 de abril por la noche, titulada “The Facts on News Reports About Facebook Data” [Los hechos con respecto a las noticias sobre los datos de Facebook], fue diseñada para silenciar las crecientes críticas que enfrenta Facebook por no proteger los números telefónicos y otra información personal de 533 millones de usuarios, después de que a inicios del mes una base con todos esos datos fuera compartida gratuitamente en foros de piratería de bajo nivel, como informó el sitio de noticias Business Insider.

Inicialmente, Facebook subestimó los reportes calificándolos como irrelevantes y alegando que los datos se filtraron hace años y, por lo tanto, realmente no es importante el hecho de que ahora estén recopilados juntos en una súper base de datos, que además está disponible gratuitamente, con la información de una de cada 15 personas en el planeta.

En los últimos años, Facebook se ha acostumbrado a lidiar con múltiples violaciones masivas de la privacidad, y los hackers han filtrado o robado datos que pertenecen a cientos de millones de sus usuarios.

Pero, en lugar de reconocer su más reciente fracaso en la protección de los datos de sus usuarios, Facebook recurre a un viejo truco: al igual que lo hizo durante el escándalo de Cambridge Analytica en 2018, está intentando redefinir la falla de seguridad como una mera violación de sus términos de Servicio.

Entonces, en lugar de disculparse por no mantener seguros los datos de los usuarios, el director de gestión de productos de Facebook, Mike Clark, inició la publicación en su blog con una astuta aclaración de tipo semántico sobre cómo se filtraron los datos.

"Es importante comprender que los malintencionados perpetradores obtuvieron estos datos no a través del hackeo de nuestros sistemas, sino que los extrajeron de nuestra plataforma antes de septiembre de 2019", escribió Clark.

Esta es una excusa idéntica a la que dieron en 2018, cuando se reveló que Facebook le había dado a Cambridge Analytica los datos de 87 millones de usuarios sin su permiso, para que los usaran en la creación de anuncios políticos.

Clark, después explica que las personas que recopilaron estos datos, perdón, que "extrajeron" estos datos, lo hicieron mediante el uso de una función diseñada para ayudar a los nuevos usuarios a encontrar a sus amigos dentro de la plataforma.

“Esta función fue diseñada para ayudar a las personas a encontrar fácilmente a sus amigos y conectarse con ellos en nuestros servicios utilizando sus listas de contactos”, explica Clark.

La función del importador de contactos permitía a los nuevos usuarios cargar sus listas de contactos y comparar esos números con los números almacenados en los perfiles de las personas. Pero al igual que la mayoría de las mejores funciones de Facebook, la empresa la dejó vulnerable al abuso por parte de los piratas informáticos.

"Efectivamente, el atacante creó un directorio con todos los números de teléfono del planeta y luego preguntó a Facebook si sus 'amigos' estaban en la plataforma", explicó el experto en seguridad Mikko Hypponen en un tweet.

La publicación del blog de Clark no dice cuándo tuvo lugar la "extracción" o cuántas veces se explotó esa vulnerabilidad, solo dice que Facebook solucionó el problema en agosto de 2019. Clark tampoco mencionó que Facebook fue informado de esta vulnerabilidad en 2017, cuando Inti De Ceukelaire, un hacker ético de Bélgica, le reveló el problema a la empresa.

La compañía tampoco ha explicado por qué varios usuarios que eliminaron sus cuentas mucho antes de 2018 han visto sus números de teléfono en esa base de datos.

Facebook ha estado recopilando los números telefónicos de sus usuarios durante una década, inicialmente afirmó que ello formaba parte de los protocolos de seguridad de la plataforma. Pero en realidad, Facebook simplemente estaba usando esos datos para ayudarse a vender más anuncios y llegar a más usuarios, una violación de la confianza de los usuarios que la Comisión Federal de Comercio (FTC) decidió que ameritaba una multa de $5 mil millones de dólares en 2019.

Pero para los usuarios cuyos números telefónicos se comercian libremente en línea, posiblemente la parte más irritante de la publicación de Clark sea cuando puso en los propios usuarios la responsabilidad de proteger los datos que Facebook les pide en nombre de la "seguridad".

"Si bien solucionamos el problema que fue identificado en 2019, siempre resulta bueno para todos asegurarse de que su configuración se alinee con lo que quieren compartir públicamente", escribió Clark.

“En este caso, actualizar el control 'Cómo te encuentran y contactan las personas' podría ser útil. También recomendamos que las personas realicen revisiones periódicas de la configuración de la privacidad para asegurarse de que sea la adecuada, incluyendo la elección de quién puede ver cierta información en su perfil y la habilitación de la autenticación a través de dos factores".

Es un movimiento audaz para una empresa con un valor de más de $300 mil millones de dólares y $61 mil millones disponibles en efectivo pedir a sus usuarios que protejan su propia información, especialmente considerando lo enredados y complejos que pueden llegar a ser los menús de configuración de la empresa.

Afortunadamente para los 500 millones de usuarios de Facebook que se han visto afectados por la filtración de sus datos, existe una forma más práctica de obtener ayuda. Troy Hunt, un consultor de seguridad cibernética y fundador de Have I Been Pwned, subió toda la base de datos filtrada a su sitio web, donde cualquiera puede verificar si su número de teléfono figura en ella.

Aunque Facebook intenta restarle importancia a la gravedad de la filtración, la decisión sobre qué tan grave es no recae solo en la compañía.

En Irlanda, el Comisionado de Protección de Datos (DPC), que tiene el poder de imponer una multa de hasta el 4% del total de la facturación mundial de la empresa, o alrededor de $3,5 mil millones de dólares, ha criticado a Facebook por no informarle de la filtración.

“El DPC intentó establecer todos los hechos y continúa haciéndolo. No recibió ninguna comunicación proactiva por parte de Facebook. A través de varios canales, buscó entrar en contacto y obtener respuestas de Facebook”, dijo un portavoz en un comunicado emitido el martes 6 de abril.

Es probable que las nuevas y estrictas reglas de privacidad europeas, conocidas como Reglamento General de Protección de Datos (GDPR), cubran la filtración, pues entraron en vigor en mayo de 2018 y los hackers tuvieron la capacidad de recopilar datos de Facebook hasta al menos el 5 de junio de 2019, según los expertos que han analizando la filtración.

Una fuente cercana al DPC le dijo a VICE News que la agencia ya está interactuando con Facebook, pero no ofreció más detalles.

La compañía podría también tener problemas en Estados Unidos por no informar de la filtración de datos en el momento en que ocurrió, como señala Ashkan Soltani, ex director de tecnología de la Comisión Federal de Comercio. La última fecha en que los analistas confirmaron que los piratas informáticos tuvieron acceso a los datos, el 5 de junio de 2019, fue solo una semana antes del acuerdo sin precedentes por $5 mil millones de dólares al que llegaron Facebook y la agencia.

Tal vez todas las personas cuyo número aparece en la base de datos filtrada deberían seguir el ejemplo del fundador y director ejecutivo de Facebook, Mark Zuckerberg: Zuckerberg usa la aplicación de mensajería de alta seguridad Signal, que no es propiedad de Facebook.