Así puedes estar alerta ante la filtración de datos de Facebook y LinkedIn

  • Enviarte virus o malware, reventar tu contraseña, suplantar tu identidad, son algunas las opciones en tu contra.
  • Los ciberdelincuentes pueden hacer muchos fraudes con la información mínima que obtuvieron.
  • Si tus datos aparecen en las brechas de Facebook o LinkedIn lo mejor es que tomes acciones inmediatamente.

En cuestión de días se promocionaron en conocidos foros de hacking la filtración masiva que contenía datos e información de millones de usuarios de Facebook y LinkedIn.

Por un lado, la filtración de teléfonos y nombres de 530 millones de usuarios de Facebook (11 millones en España) llevaba circulando por el internet profundo desde 2019. Pero los ciberdelincuentes utilizaban esta ‘mercancía’ para traficar: solo se podía acceder a ella pagando. La semana pasada; sin embargo, esta base de datos íntegra se compartió gratuitamente en un foro.

Es el mismo foro, en el que días después se ofrecieron gratuitamente los datos de millones de miembros de LinkedIn; fruto de otra filtración que no se había conocido hasta ahora. Los usuarios afectados fueron otros 500 millones.

Ambas filtraciones son muy problemáticas. La de Facebook expuso millones de números de teléfono. No es lo mismo que se filtre un correo electrónico o, incluso, en el peor de los casos, una contraseña sin cifrar. Porque los usuarios pueden cambiar recurrentemente esa credencial. De teléfono es más complicado cambiar.

Por su parte, la filtración de LinkedIn incluye información mucho más minuciosa sobre los 500 millones de usuarios afectados. El hacker y especialista Marc Almeida, «Cibernicola» en redes sociales, hace  varios análisis sobre ambos incidentes; y de la filtración de LinkedIn destaca cómo hay docenas de campos de información de los afectados.

Esto pueden hacer los ciberdelincuentes con la filtración de Facebook y LinkedIn

Desde que se conoció la filtración de datos de Facebook, varios medios de comunicación explicaron cómo pueden los usuarios saber si están entre los afectados. La solución es sencilla y no requiere descargarse los 15 gigas en texto plano que supone la filtración al completo.

Páginas como HaveIBeenPwned han actualizado su base de datos de información filtrada o robada en incidentes informáticos. Solo tienes que escribir tu correo electrónico para saber si tu dirección se filtró en algún incidente. Si fue así, plantéate cambiar de correo o tu contraseña. También puedes escribir tu número de teléfono en formato internacional (incluyendo la extensión de tu país) para saber si estás entre los afectados por la brecha de Facebook.

Una brecha sobre la que Facebook emitió un nuevo comunicado esta semana en la que echaba balones fuera. En él solo admitía que el incidente se produjo en 2019. Entonces, algunos expertos defendieron en las redes que la vulnerabilidad ya había sido detectada y avisada en 2017. Ahora, recomendó a sus usuarios a actualizar sus opciones de privacidad en esa red social.

¿Cuál fue la vulnerabilidad de Facebook? Es muy complicado saberlo con exactitud; pero varios especialistas advierten que al usar Facebook, puedes importar los contactos de tu agenda telefónica (y sus números). Así, la plataforma por sí sola te recomienda agregar a amigos a tus contactos telefónicos.

Lo que habrían hecho los atacantes es crear una agenda telefónica con millones de números. De esta manera, asociar números con perfiles en la red social.

Si estás entre los afectados, no puedes hacer mucho más, lamentablemente. Ni siquiera Mark Zuckerberg puede hacer nada. Pero, ¿qué pueden hacer los ciberdelincuentes con esa información?

La información es poder, también para los criminales

Una constante que se repite es que los datos son el petróleo del siglo XXI. En el ámbito de la ciberseguridad los especialistas bautizaron una serie de prácticas como OSINT, «inteligencia de fuentes abiertas». Todos los detalles que puedan recabarse sobre una persona, una organización, o un concepto a través de fuentes abiertas como perfiles sociales.

Los hackers practican su OSINT de las formas más dispares. Por ejemplo, son capaces de colaborar en casos de personas, animales u objetos desaparecidos con muy pocos recursos. A través de una fotografía pueden buscar en la red semejanzas; consultar los metadatos del archivo, y recurrir a las fuentes más dispares para saber dónde se tomó la imagen.

También, los criminales informáticos ponen en práctica estas herramientas pero con fines mucho más espurios. Pueden saber si el directivo de una empresa está registrado en una página web de citas (o incluso infidelidades); o suplantarlo en una app de compraventa de segunda mano contando solo con su correo electrónico.

Ahora imagínate qué se puede hacer cuando la información que tienes es mucho mayor. Si sumas las dos bases de datos que se están compartiendo en la red, cualquier persona puede tener acceso a un sinfín de datos de un solo individuo:

  • Correo electrónico
  • Número de teléfono
  • Nombre real y pseudónimo
  • Puesto de trabajo
  • Experiencia profesional
  • Fecha de nacimiento
  • Lugar de nacimiento
  • Ciudad en la que resides y más.

Blinda tus contraseñas y reduce tu exposición

Getty.

Si en un servicio se te da la opción de generar una pregunta de seguridad para recuperar tu contraseña, te habrás dado cuenta de que en muchos casos esas preguntas son básicas. Algunas son: «lugar donde naciste», «nombre de tu primer profesor», «nombre de tu primera mascota».

En las redes sociales los usuarios comparten su vida al completo. Un ciberdelincuente que accedió a la base de datos de Facebook puede usar tu número de teléfono para asociarte a otros servicios.

Si no has configurado bien las opciones de privacidad, puede que esa persona sepa o descubra cómo se llamaba tu primer profesor en la escuela porque lo tienes en tu lista de amigos. O cómo se llamó tu primera mascota porque subiste una foto. O saber dónde naciste simplemente porque ya aparece en la base de datos filtrada.

Por eso, en caso de que en algún servicio dependas de estas preguntas de seguridad, lo mejor es que blindes tu contraseña. Utiliza un gestor de contraseñas, introduciendo el doble factor de autenticación. Al iniciar sesión, tendrás que usar tu móvil o una llave física para confirmar que estás accediendo con tus datos. También, aprovecha los recursos biométricos —como tu huella dactilar— para que el dispositivo compruebe que eres realmente tú.

Sin embargo, blindar la contraseña, nunca es suficiente. Si no quieres que los ciberdelincuentes tengan pistas sobre ti, lo mejor es que reduzcas tu exposición en las redes sociales.

Siempre hay algo que esconder

Un usuario medio suele asegurar que no tiene miedo a la ciberdelincuencia porque no tiene nada que esconder. Pero la frase «quién va a querer hackearme a mí» nunca puede justificar nada. Tampoco navegar por la red sin la protección adecuada.

Quizá no tengas nada que esconder pero sí tengas una cuenta bancaria; o sea quien maneja los fondos de tu empresa; tampoco te haría gracia ver tus fotos en perfiles falsos o suplantándote, damnificando tu reputación.

La red, como su propio nombre indica, lo interconecta absolutamente todo. Un correo electrónico débilmente protegido no solo puede afectarte a ti; también puede comprometer la empresa para la que trabajas.

En tiempos de coronavirus, —de confinamientos forzosos y con muchas personas que adoptaron el home office—, los ciberataques se dispararon. Muchos profesionales en esta modalidad confiaron en sus capacidades informáticas; o cometieron más errores fruto de su estrés. Esto provocó que en muchos casos la superficie de ataque —en determinadas compañías— fue mayor.

Hay que estar siempre alerta a una filtración en redes como Facebook

Gracias a los millones de números de teléfono que se filtraron con la brecha de Facebook, los ciberdelincuentes tienen muchísimas facilidades para iniciar campañas masivas de phishing segmentadas por nacionalidades.

No es lo mismo cambiarse de correo o contraseña que hacerlo de número de teléfono. Los SMS con phishing son una práctica cada vez más habitual. En los últimos años ha afectado a organismos públicos como Correos y a cadenas de supermercados como Mercadona.

El objetivo de estos SMS puede ser dispar. Haciéndose pasar por una empresa o una entidad creíble, suelen invitar a sus potenciales víctimas a entrar a un enlace que redirigirá al usuario a una página fraudulenta. En ella tendrá que introducir sus credenciales. La víctima, pensando que se trata de una página oficial, estará entregando, sin saberlo, más datos a los criminales.

Datos que pueden ser mucho más sensibles. Desde cuentas bancarias o tarjetas de crédito, a identificación o números de la seguridad social.

En otras ocasiones, estos SMS o correos con phishing lo único que pretenden es que el usuario entre al enlace fraudulento para descargar código malicioso en el dispositivo. Un código malicioso que podría operar y propagarse por todos los terminales que estén conectados a la misma red. Así es como ocurren los peligrosos ataques con ransomware a grandes empresas o a administraciones públicas.

Con los datos que se filtraron de tus cuentas en Facebook o LinkedIn, los ciberdelincuentes tienen más facilidades para continuar sofisticando sus ataques.

AHORA LEE: Qué es lo que atrae a los ingenieros para aceptar un trabajo en las áreas IT y los desafíos que enfrentan

TAMBIÉN LEE: Este fondo de capital apuesta por el desarrollo de los emprendimientos en tecnología desde su etapa inicial

Descubre más historias en Expertos en Línea

Síguenos en FacebookInstagramLinkedIn y Twitter