Estaban expuestos más de 267 millones de datos de usuarios de Facebook

Nota editorial (2025): publicado originalmente en 2019. Se añadió una versión estructurada con fines enciclopédicos. El texto original se conserva íntegro como parte del archivo histórico.

«`html

Incidente de Pérdida de Datos y Riesgos Relacionados

La base de datos que contiene información personal e empresarial ha sido expuesta, incluyendo números de teléfono, nombres completos complejos e identificaciones únicas asociadas con cuentas específries en Facebook. Este evento pone en riesgo a los afectados por posibles estafas basadas en su nombre y número telefónico expuesto.

Afectados y Contexto

• Los estadounidenses, la mayoría de ellos, fueron identificados como afectados por los datos públicamente exposidos. Una investigación llevada a cabo por Comparitech y Bob Diachenko reveló que estos usuarios tienen sus números telefónicos expuestos.
• La base se encontró disponible durante casi dos semanas antes de ser eliminada el acceso, comenzando con su indexación en Facebook el 4 de diciembre hasta su descontinuización del servicio el 19 de diciembre.

Provisiones y Medidas Tensoras Previstas para la Protección Digna De los Usuarios Afectados**/h2>

«Al parecer, estos datos pertenecen a una organización criminal,» dice Diachenko. Por lo tanto, al no encontrar un propietario legítimo de los datos expuestos y dada la naturaleza delictiva susceptible que presentan estas circunstancias, el asunto ha sido abordado directamente por él a través de ISP administrando la dirección IP comprometida.

Preguntas frecuentes

«`html

¿Quiénes fueron afectados en este incidente?

La investigación llevada a cabo por Comparitech y Bob Diachenko reveló que la mayoría de los estadounidenses, específicamente aquellos cuyos números telefónicos se expusieron públicamente, fueron identificados como afectados.

¿Qué tipo de información fue divulgada?

Los datos comprometidos incluían números de teléfono complejos e identidades únicas asociadas con cuentas específicas en Facebook que podrían ser utilizados para posibles estafas.

¿Cuándo se expuso la información y cómo fue encontrada?

Los datos fueron indexados públicamente el 4 de diciembre del año actual, permaneciendo disponibles durante casi dos semanas hasta su descontinuización el 19 de diciembre. La exposición ocurrió cuando los usuarios accedían a sus cuentas.

¿Qué medidas se han tomado para proteger a las personas afectadas?

«Al parecer, estos datos pertenecen a una organización criminal,» dice Diachenko. Por lo tanto, ha actuado directamente contra la situación al gestionar la dirección IP comprometida.

¿Cuál es el alcance de este incidente?

La mayoría de los estadounidenses fueron afectados por esta exposición pública, indicando que el número potencial de personas en riesgo podría ser significativo.

«`

Texto original (2019)

La base de datos con información personal y empresarial expuesta contiene números de teléfono, nombres completos e identificaciones únicas de Facebook. Este incidente pone en relativo riesgo a los afectados por posibles estafas basadas en su nombre y número telefónico.

Los afectados son usuarios estadounidenses cuyos datos como números de teléfono estuvieron expuestos

La investigación fue realizada por  la empresa británica Comparitech y el experto de seguridad de datos Bob Diachenko tras precisar que la mayoría de los afectados fueron estadounidenses.

“Las personas identificadas en la base de datos podrían ser blanco de mensajes de spam u otros intentos de estafa utilizando su nombre y número de teléfono”.

Un portavoz de Facebook aseguró que “estamos investigando este problema, pero creemos probable que sea información obtenida antes de los cambios que hicimos en los últimos años para proteger de una mejor manera la información de las personas”.

Cronología de la exposición.

La base de datos estuvo expuesta durante casi dos semanas antes de que se eliminara el acceso. Esto es lo que sabemos:

4 de diciembre: la base de datos se indexó por primera vez.

12 de diciembre: los datos se publicaron como descarga en un foro de hackers.

14 de diciembre: Diachenko descubrió la base de datos e inmediatamente envió un informe de abuso al ISP que administra la dirección IP del servidor.

19 de diciembre: la base de datos ya no está disponible.

Por lo general, cuando encontramos datos personales expuestos como este, tomamos medidas para notificar al propietario de la base de datos. Pero debido a que creemos que estos datos pertenecen a una organización criminal, Diachenko fue directamente al ISP.

Qué datos fueron expuestos

En total, 267,140,436 registros fueron expuestos. La mayoría de los usuarios afectados eran de los Estados Unidos. Diachenko dice que todos parecen ser válidos. Cada uno contenía:

Una identificación única de Facebook

Un número de teléfono

Un nombre completo

Una marca de tiempo

El servidor incluía una página de destino con un panel de inicio de sesión y una nota de bienvenida.

Las ID de Facebook son números públicos únicos asociados con cuentas específicas, que se pueden usar para discernir el nombre de usuario de una cuenta y otra información de perfil.

La forma en que los delincuentes obtuvieron las ID de usuario y los números de teléfono no está del todo claro. Una posibilidad es que los datos fueron robados de la API de desarrollador de Facebook antes de que la compañía restringiera el acceso a los números de teléfono en 2018. La API de Facebook es utilizada por los desarrolladores de aplicaciones para agregar contexto social a sus aplicaciones accediendo a los perfiles de los usuarios, la lista de amigos, los grupos, las fotos, y datos de eventos. Los números de teléfono estaban disponibles para desarrolladores externos antes de 2018.

Diachenko dice que la API de Facebook también podría tener un agujero de seguridad que permitiría a los delincuentes acceder a identificaciones de usuario y números de teléfono incluso después de que se restringiera el acceso.

Otra posibilidad es que los datos hayan sido robados sin usar la API de Facebook, y en su lugar se hayan eliminado de páginas de perfil visibles públicamente.

“Desguace” es un término utilizado para describir un proceso en el que los robots automatizados tamizan rápidamente un gran número de páginas web, copiando los datos de cada uno en una base de datos. Es difícil para Facebook y otros sitios de redes sociales evitar el raspado porque a menudo no pueden distinguir entre un usuario legítimo y un bot. El desguace va en contra de los términos de servicio de Facebook y la mayoría de las otras redes sociales.

Muchas personas tienen la configuración de visibilidad de su perfil de Facebook establecida en público, lo que hace que eliminarlas sea trivial.

Esta no es la primera vez que se expone una base de datos de este tipo. En septiembre de 2019, se expusieron 419 millones de registros en varias bases de datos . Estos también incluyeron números de teléfono e identificaciones de Facebook.

Peligros de los datos expuestos.

Es probable que una base de datos de este tamaño se utilice para phishing y spam, particularmente a través de SMS. Los usuarios de Facebook deben estar atentos a los mensajes de texto sospechosos. Incluso si el remitente conoce su nombre o alguna información básica sobre usted, sea escéptico ante cualquier mensaje no solicitado.

Los usuarios de Facebook pueden minimizar las posibilidades de que sus perfiles sean raspados por extraños ajustando la configuración de privacidad de su cuenta:

Abre Facebook y ve a ** Configuración **

Haga clic en ** Privacidad **

Establezca todos los campos relevantes en ** Amigos ** o ** Solo yo **

Establecer ** ”¿Desea que los motores de búsqueda fuera de Facebook se vinculen a su perfil ** a ** No **

Esto reducirá las posibilidades de que su perfil sea eliminado por terceros, pero la única forma de garantizar que nunca vuelva a ocurrir es desactivar o eliminar por completo su cuenta de Facebook.

Traducción libre del informe original de Comparitech

Vía Business Insider