Fuga masiva de datos en Facebook: ¡Cuidado con la ola de Phishing!

    Acepto y he leído la política de privacidad.Ver política.
    Responsable tratamiento: ESCUDA SGSI, S.L.
    Finalidad: venta de bienes, servicios y comunicación comercial.
    Derechos: entre otros, acceso, rectificación, supresión a escuda@escuda.es

    Acepto recibir información con fines publicitarios y de prospección comercial, incluido el envío de boletines y noticias (email, SMS y cualquier otro medio electrónico) sobre promociones y novedades de ESCUDA SGSI S.L. relacionados con servicios informáticos y ciberseguridad.

    Fuga masiva de datos en Facebook: ¡Cuidado con la ola de phishing!

    Multiplicación de los ciberataques, aumento de las fugas de datos cada vez más importantes y masivas etc. Estos últimos años, han sido cientos de millones de ciudadanos de todo al mundo, tanto particulares como profesionales, quienes se han visto tocados por esta explosión de ataques informáticos.

    Es por esta razón que el pasado 6 de abril de 2021 la autoridad de protección de los datos irlandesa, país en el cual está la sede europea de Facebook, publicó en su página web un comunicado anunciando la fuga de datos de cerca de 533 millones de individuos con cuenta en esa plataforma (sobre un total de 2.300 millones), entre ellos casi 11 millones de españoles y 13 millones de mejicanos, como vemos en esta lista:

    phishing usuarios datos expuestos

    Observamos que no es la primera brecha de datos de esta red social, con presencia planetaria, puesto que entre 2017 y 2018 una vulnerabilidad ya había provocado la fuga de datos de millones de usuarios. Este evento habiendo ocurrido antes de la entrada en vigor del RGPD, Facebook no notificó esa violación. La similitud se nota aún más hoy, puesto que la autoridad de protección de datos irlandesa tampoco ha recibido notificación, sobre esta nueva violación, por parte la red social.

    1. ¿Qué personas e informaciones están afectadas?

    Según Facebook, el archivo actualmente accesible por Internet sería el resultado de una filtración, ocurrida antes de septiembre de 2019, y no se debe a un ciberataque. Aparentemente, se trataría del uso fraudulento de una funcionalidad de su aplicación móvil, que permite a los usuarios importar el registro de su listado de direcciones móviles desde la plataforma, para poder encontrar a sus conocidos con más facilidad, utilizando sus números de teléfono. Gracias a ello, unas personas lograron importar una gran cantidad de números no identificados para vincularlos con los perfiles de usuarios correspondientes y recopilar las informaciones “disponibles públicamente” en esos mismos perfiles. Desde entonces, Facebook habría permitido desactivar esta opción, pero el daño ya está hecho y la brecha no ha sido señalada.

    Facebook justifica la ausencia de notificación a los usuarios afectados argumentando que en el momento de la violación esta función estaba, por defecto, “abierta a todo el mundo” y que los datos filtrados corresponden a “información pública”. Consideran que era el rol del usuario configurar la visibilidad de sus informaciones personales, en caso de querer limitarla únicamente a sus “amigos” o “amigos de amigos” Facebook (debemos que tener en cuenta que esta opción no se podía desactivar). Aquí, de nuevo, existen varios motivos para interrogarnos sobre dicha naturaleza pública de los datos divulgados.

    2. ¿Qué datos han sido afectados?

    Esta data breach (filtración de datos) afectaría a las personas con una cuenta Facebook entre el 2016 y el 2019, es decir uno de cada dos usuarios españoles. Dado el número de personas afectadas, las instituciones de protección de datos recomiendan considerar a cualquier usuario como afectado por esta violación de los datos.

    Aquí una lista no exhaustiva de los datos afectados, pues depende de la naturaleza de las informaciones personales registradas por cada usuario en la red social:

    • Nombre y apellidos;
    • Fecha y lugar de nacimiento;
    • Genero;
    • Número de teléfono;
    • Dirección de e-mail asociada a la cuenta;
    • Ciudad y país de residencia;
    • Actividad profesional;
    • Estado civil (soltero, en pareja, casado, etc.).

    Sin embargo, parece que las contraseñas de las cuentas de usuarios y los mensajes privados intercambiados a través de la plataforma no se han visto afectados.

    3. ¿Qué medidas de vigilancia adoptar?

    Estas informaciones ahora circulan en Internet. Se venden a un elevado precio y su uso malintencionado puede tener consecuencias desafortunadas (tentativas de pirateo, usurpación de identidad, ingeniería social, etc.).

    Por lo tanto, se recomienda tomar las medidas adecuadas para prevenir cualquier riesgo futuro, así como mantenerse alerta sobre los siguientes puntos:

    • Revisemos las opciones de configuración para controlar la privacidad de nuestras cuentas las informaciones que Facebook tiene sobre nosotros. Recordemos consultar nuestros “atajos de confidencialidad” (asistencia de confidencialidad = como manejarnos en Facebook, quién puede ver lo que compartimos, configurar nuestros datos, como proteger nuestra cuenta…).
    • Asegurémonos de suprimir las informaciones que nos parezcan sensibles o no útiles en nuestras diferentes redes sociales, como nuestro apellido (si esa cuenta no tiene finalidades profesionales), nuestro género, nuestro lugar y fecha de nacimiento, nuestras opiniones políticas y religiosas o nuestra orientación sexual.
    • Recordemos modificar nuestra contraseña, incluso si, a priori, no nos hemos visto afectados por esta fuga de datos, debemos optar por una contraseña fuerte y única (con al menos 12 caracteres, 1 mayúscula, 1 número, 1 signo de puntuación o carácter especial).
    • Tengamos cuidado con los correos electrónicos y los sms de origen desconocido, especialmente aquellos que contengan un enlace o un documento adjunto. Puede tratarse de intentos de “pesca”, es decir de mails de phishing destinados a intentar recuperar nuestros datos personales usurpando la identidad de una empresa, un organismo financiero, una administración pública, o incluso de correos de pharming que nos remiten a un sitio web falso, cuya finalidad es recuperar nuestras credenciales de conexión o de inicio de sesión. Debemos suprimir inmediatamente dichos mails o sms fraudulentos.
    • Como regla general, debemos estar atentos a cualquier mensaje o correo que parezca provenir de nuestro banco o de nuestra compañía de seguros y que nos pida modificar nuestros datos o realizar una transferencia. Siempre debemos verificar la presencia de errores ortográficos en el texto o la dirección email del remitente. En caso de duda, recordemos siempre conectarnos a la página oficial escribiendo la dirección directamente en la barra de búsqueda. También debemos aprovechar la posibilidad de contactar con el remitente a través de otro canal.
    • Finalmente, recordemos que no debemos dudar en advertir y acompañar a las personas de nuestro entorno que tienen poco conocimiento de las redes sociales.

    4. Algunos casos igualmente relevantes: LinkedIn, Organizaciones públicas, etc.

    La saga está lejos de terminar porque después de Facebook, les ha tocado el turno a LinkedIn y a Microsoft de ser objeto de investigación por parte de la autoridad de control italiana por filtraciones masivas de datos.

    Las administraciones públicas españolas, nacionales o locales tampoco se libran de ser pasto de la ciberdelincuencia, como lo demuestran los casos del Sepe o del ayuntamiento de Castellón.

    En ambos casos, el ataque no solo afectó y dejó al descubierto informaciones importantes para los organismos, sino que ha tenido graves repercusiones en sus usuarios y/o ciudadanos. Entre otras afectaciones graves, el ataque al ayuntamiento de Castellón, al parecer, ha permitido que un sinfín de información confidencial y datos personales sensibles de los ciudadanos haya salido a subasta en la web oscura.

    Y sigue…

    5. ¿Existen páginas web para verificar si estoy entre los afectados?

    Numerosas páginas web han sido creadas para este propósito. Su contenido, gratuito o disponible por muy poco dinero, estaría accesible al público en general. Sin embargo, no se recomienda consultarlos, ni descargar ningún archivo, que contenga esa información. De hecho, pueden ser poco seguros e implicar riesgos (programas maliciosos, etc.). También debemos tener cuidado de no intercambiar informaciones financieras, o dinero, para acceder a este tipo de archivos.

    Recordemos que la descarga de datos personales hechos públicos y su potencial utilización con fines de marketing es ilegal y daría lugar a demandas judiciales.

    Si creemos haber sido o ser víctima de una usurpación o robo de identidad como resultado de esta divulgación, se recomienda que:

    • Cambiemos nuestras contraseñas lo antes posible;
    • Comunicar el suceso a las personas correspondientes;
    • Bloquear cuentas y accesos;
    • Avisa a amigo y conocidos de lo sucedido;
    • Revisar el ordenador, incluidos los antivirus y demás programas instalados;
    • Controlar de forma constante los movimientos bancarios;
    • Denunciarlo a la propia red social. Si no se soluciona el problema se puede interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
    • Presentar una denuncia ante la comisaría de policía de nuestra zona.

    También recordemos que el RGPD impone a las empresas que constaten una filtración de datos personales que presente un riesgo con respecto a la vida privada de las personas involucradas, de notificar dentro de las 72 horas a la AEPD, bajo pena de sanción financiera, que puede ir hasta los 20 millones de euros o el 4% de la facturación mundial anual.

    Los afectados deben ser informados de esta violación lo antes posible.

    Implementa la mejor defensa en tu empresa

    En ESCUDA como expertos en ciberseguridad ofrecemos estrategias en este ámbito, que incluyen la implementación de las herramientas necesarias y formación para los empleados. Si necesitas ayuda para plantear la mejor defensa para tu empresa no dudes en contactar con nosotros llamando al 931931848 o rellenando este formulario.

     

    Más información:

    ¿Cómo pudo realizarse el hackeo a Facebook o LinkedIn?

    Tras Facebook, ahora filtran datos de 500 millones de usuarios de LinkedIn

    Com preparar la teva empresa per evitar un Ciberatac

    Facebook Messenger users targeted by a large-scale scam

    ¿Cómo proteger los datos de tu empresa?

    El gran hackeo de Facebook y LinkedIn

    Cómo comprobar si tu cuenta ha sido afectada por la filtración de datos de Facebook

    Guía de privacidad y seguridad en Internet

    Glosario de ciberseguridad (pdf)

     

    #escuda #hackeo #hacker #FugaDeDatos #Facebook #LinkedIn #Ciberataque #ProtecciónDeDatos #phishing #pharming #IngenieríaSocial #PirateoDeDatos #surpaciónDeIdentidad #DenunciarViolaciónDeDatos

     

    Puede que estos artículos te gusten

    ¿Te ha gustado este artículo?

    Comparte esta publicación con quien tú quieras