Más dudas que respuestas: Facebook explica cómo se filtraron 533 millones de datos personales en la red

Administrar una red con más del 36% de la población mundial no es tarea fácil, y menos sencilla debe ser la tarea de cuidar esa enorme cantidad de información producida a diario desde cada fuente. Tras el reporte de una filtración masiva de datos, que compromete incluso la información personal del propio Mark Zuckerberg, Facebook ha publicado un comunicado en donde intenta brindar explicaciones sobre este hecho específico.

En este post firmado por Mike Clark, Director de Producto en Facebook, se da cuenta de una serie de pasos que la red social dio para eliminar esta imperfección de la red:

El 3 de abril, Business Insider publicó una historia que decía que la información de más de 530 millones de usuarios de Facebook se había puesto a disposición del público en una base de datos no segura. Contamos con equipos dedicados a abordar este tipo de problemas y comprender el impacto que pueden tener en las personas que utilizan nuestros servicios. Es importante comprender que los actores malintencionados obtuvieron estos datos no pirateando nuestros sistemas, sino sacándolos de nuestra plataforma antes de septiembre de 2019.

El “scraping” es una táctica común que, a menudo, se basa en software automatizado para extraer información pública de Internet que puede terminar distribuyéndose en foros en línea como éste. Los métodos utilizados para obtener este conjunto de datos se informaron anteriormente en 2019. Este es otro ejemplo de la relación continua y de confrontación que las empresas de tecnología tienen con los estafadores que infringen intencionalmente las políticas de la plataforma para eliminar los servicios de Internet. Como resultado de la acción que tomamos, estamos seguros de que el problema específico que les permitió extraer estos datos en 2019 ya no existe. Pero como todavía hay confusión sobre estos datos y lo que hemos hecho, queríamos proporcionar más detalles aquí.

Qué pasó

Creemos que los datos en cuestión fueron extraídos de los perfiles de Facebook de las personas por parte de actores malintencionados utilizando nuestro importador de contactos antes de septiembre de 2019. Esta función fue diseñada para ayudar a las personas a encontrar fácilmente a sus amigos con quienes conectarse en nuestros servicios utilizando sus listas de contactos.

Cuando nos dimos cuenta de cómo los actores malintencionados usaban esta función en 2019, hicimos cambios en el importador de contactos. En este caso, lo actualizamos para evitar que usen software para imitar nuestra aplicación y carguen una gran cantidad de números de teléfono para ver cuáles coincidían con los usuarios de Facebook. A través de la funcionalidad anterior, pudieron consultar un conjunto de perfiles de usuario y obtener un conjunto limitado de información sobre aquellos usuarios incluidos en sus perfiles públicos. La información no incluía información financiera, de salud o contraseñas.

Mantener su cuenta segura

La extracción de datos mediante funciones destinadas a ayudar a las personas infringe nuestros términos. Tenemos equipos en toda la empresa que trabajan para detectar y detener estos comportamientos.

Nos enfocamos en proteger la información de las personas trabajando para eliminar este conjunto de datos y continuaremos persiguiendo agresivamente a los actores malintencionados que hacen mal uso de nuestras herramientas, siempre que sea posible. Si bien no siempre podemos evitar que conjuntos de datos como estos vuelvan a circular o que aparezcan otros nuevos, contamos con un equipo dedicado que se concentra en este trabajo.

Si bien abordamos el problema identificado en 2019, siempre es bueno para todos asegurarse de que su configuración se alinee con lo que quieren compartir públicamente. En este caso, la actualización del control "Cómo las personas lo encuentran y lo contactan" podría ser útil. También recomendamos que las personas realicen revisiones periódicas de privacidad para asegurarse de que su configuración esté en el lugar correcto, incluido quién puede ver cierta información en su perfil y habilitar la autenticación de dos factores.

¿Qué dudas deja este comunicado?

Lo primero es saber la tasa real de afectados. Si bien la imperfección fue detectada en setiembre de 2019 y se ha filtrado esta base de datos, Facebook no señala si fue la única. De acuerdo con reportes anteriores, Facebook ha tenido otras brechas de dimensiones considerables:

El 28 de setiembre de 2018 se reporta el abuso de una vulnerabilidad que expuso 50 millones de perfiles privados.

El 16 de abril de 2019, Facebook reconoció haber guardado contraseñas de Instagram y Facebook Lite sin encriptación, y podían ser vistas por cualquier empleado de la red.

El 4 de setiembre de 2019 se reveló el acceso un servidor de Facebook sin protección y disponible para cualquiera, exponiendo los datos privados de 419 millones de personas

El 20 de diciembre de 2019 se detectó una base de datos de, al menos, 267 millones de cuentas bajo la misma técnica del scraping.

Otro tema es la incertidumbre sobre otros intentos anteriores o posteriores. En este caso, hablamos de este tema dos años después, y casi siempre las brechas son anunciadas con esta latencia. Facebook ha reparado el error, pero sabemos que la delincuencia digital aprovecha el mínimo espacio disponible para extraer datos.

La Comisión de Protección de Datos de Irlanda se ha pronunciado sobre el tema y ha señalado que hay información adicional al que expuso la brecha de seguridad de 2018, y que podrían ser datos extraídos después de que Facebook reparara el problema con el API de contactos: “Debido a que el raspado tuvo lugar antes de la Regulación General de Protección de Información, Facebook decidió no notificar esto como una violación de datos personales bajo esta ley”.

El organismo señala que Facebook no se ha mostrado proactiva en este tema ante las consultas, pero lograron obtener esta respuesta: “Creemos que la información en el conjunto de datos publicado este fin de semana estaba disponible públicamente y se extrajo antes de los cambios realizados en la plataforma en 2018 y 2019. Como puede apreciar, los datos parecen haber sido recopilado por terceros y potencialmente provienen de múltiples fuentes”.

Además, Facebook no habla de una cifra concreta en reportes de transparencia o comunicados públicos. Un cruce de información podría ayudar a tener un número real de afectados, y establecer un porcentaje de usuarios activos expuestos frente a la tasa de usuarios totales.