Es posible que tu número de teléfono, tu dirección de email, los lugares que visitas o incluso la marca y modelo del celular con el que te conectas a Facebook estén a la venta en la red oscura, el mercado negro de internet.
La red social está investigando el último gran ciberataque del que fueron víctima sus usuarios. Y ha revelado que los hackers accedieron a datos de cerca de 30 millones de personas.
«De 15 millones de ellas, accedieron a dos tipos de información: nombre y datos de contacto (número de teléfono, email o ambos)», explica la compañía en su sitio web.
«De otras 14 millones, accedieron también al nombre de usuario, género, ubicación, idioma, situación sentimental, religión, ciudad de origen y actual, fecha de nacimiento, dispositivo desde el que se conectan, información sobre su educación y trabajo, los últimos 10 lugares en los que se registraron y las últimas 15 búsquedas».
El ataque ocurrió hace apenas dos semanas, cuando los hackers accedieron a 50 millones de cuentas al explotar una vulnerabilidad en los llamados «tokens», las llaves digitales que nos permiten conectarnos a Facebook.
Pero podría haber sido mayor si la red social no hubiera cerrado repentinamente la sesión de 90 millones de usuarios.
«En los próximos días, enviaremos mensajes personalizados a los 30 millones de personas afectadas para explicarles a qué información pudieron haber accedido los atacantes, así como los pasos que pueden tomar para protegerse», escribió Guy Rosen, vicepresidente de producto de la compañía, en un comunicado publicado en el sitio de ayuda de Facebook.
«Estamos trabajando contrarreloj para investigar el fallo de seguridad que descubrimos y solucionamos hace dos semanas», agregó.
La plataforma ha puesto un enlace a disponibilidad de los usuarios para que puedan comprobar directamente si fueron afectados.
También dio más información sobre cómo ocurrió el ataque: «Ahora sabemos que entre el 14 y el 27 de septiembre los atacantes usaron los tokens de acceso para obtener información de ciertas cuentas de Facebook».
Rosen asegura que la red social «actuó rápido», inhabilitando las cuentas potencialmente afectadas y que «no es necesario que nadie cambie la contraseña».
Pero agregó: «No hemos descartado la posibilidad de ataques más pequeños que seguiremos investigando».
«Inconcebible»
Pero esta vez la red social no proporcionará protección contra el robo de identidad para quienes sufrieron el hackeo, lo cual es raro para una compañía digital tan importante que acaba de sufrir un ataque masivo.
Según le dijo un analista del sector a la BBC, esa decisión es «inconcebible».
«Los datos (robados) podrían ayudar a los ladrones a crear programas con técnicas de ingeniería social (estrategias de persuasión en internet para hacerse pasar por otra persona o empresa) aprovechándose de las víctimas del hackeo a Facebook», explicó Patrick Moorhead, de la consultoría Moor Insights & Strategy.
Por lo general, las empresas afectadas por grandes filtraciones de datos -como le ocurrió a la cadena de tiendas Target en 2013- suelen proporcionar acceso a agencias que ofrecen servicios de protección contra el robo de identidad.
Este tipo de organismos ofrece ayuda para controlar la actividad de cuentas financieras, elaborar informes de crédito y otros métodos para reducir el riesgo de que los afectados les suplanten la identidad.
Grandes compañías que han sufrido hackeos, como Playstation Network o la agencia de informes de crédito Equifax, ofrecieron soluciones similares.
Los datos robados podrían tener un gran valor para los hackers, le dijo a la BBC Joseph Lorenzo Hall, tecnólogo jefe del Centro para la Democracia y la Tecnología, una organización sede en Washington DC, Estados Unidos.
«Lo que me preocupa es que puedan entrar en otras cuentas. No hay datos financieros, pero hay información que pueden ser útil para los hackers».
Datos como la fecha de nacimiento son clave para acceder a cuentas bancarias, así como el email para enviar correos fraudulentos.
Una vocera de Facebook le dijo a la BBC que cree «por el momento» la compañía no pondrá en marcha esta medida. En lugar de eso, los usuarios pueden dirigirse a la sección de ayuda del sitio web.
«Los recursos que estamos ofreciendo están basados en el tipo de datos a los que accedieron (los hackers) e incluyen los pasos que deben seguir para protegerse de emails sospechosos, mensajes de texto o llamadas», explicó.
Algunos de esos consejos son bastante genéricos, por ejemplo, usar un antivirus, no compartir nunca la contraseña o no hacer clic en enlaces sospechosos.
La portavoz no dijo si esas páginas de ayuda fueron actualizadas desde que Facebook supo del último ataque.