El viernes, Facebook nos dio una buena noticia respecto del hackeo masivo de datos que comunicó el 28 de septiembre, aunque después vinieron un montón de malas noticias.
La buena noticia es que la cantidad de cuentas hackeadas fue de solo 30 millones y no de 50 millones, como Facebook calculaba originalmente. Facebook también comunicó que, según entienden sus expertos, las cuentas de sus usuarios en Instagram, Oculus, WhatsApp y otras aplicaciones de terceros no se vieron afectadas. (Aquí verificar si tu cuenta de Facebook fue hackeada.)
La mala noticia es que Facebook confirmó que casi todos los usuarios que fueron víctimas del hackeo sufrieron el robo de su información personal (antes solo se había comunicado que hubo un acceso no autorizado a las cuentas). Y, si bien Facebook todavía desconoce el uso que los hackers le darán a esa información, las posibilidades son infinitas. Respecto de los autores del hackeo, Facebook dijo esto: “Estamos cooperando con el FBI en su investigación activa, y nos solicitaron que no divulguemos información sobre los posibles responsables del hackeo”.
La actualización de seguridad se lanzó dos semanas después de que Facebook admitiera que existían una serie de vulnerabilidades que permitían que millones de cuentas fueran a parar a manos de hackers. El hackeo se logró, en parte, explotando la herramienta “Ver como”, que sirve para saber cómo ven tu perfil otras personas. Se cree que fue el peor hackeo en la historia de Facebook, aunque todavía no logra sumar tanta indignación como sí lo hizo el escándalo de Facebook y Cambridge Analytica de hace unos meses.
Y digo “todavía” porque hasta el día de hoy se desconoce la magnitud del robo de información. Quizá nunca conoceremos el impacto real, porque muchas de sus consecuencias podrían ser robos de identidad y estafas vía correo electrónico, difíciles de vincular directamente con la información robada a las cuentas de Facebook.
Echemos un vistazo a las cifras. Según Facebook, de las 30 millones de cuentas afectadas, solo 1 millón no sufrió robo de información; esos pocos afortunados pueden quedarse tranquilos. De otras 15 millones de cuentas, solo se robaron información personal básica (nombre e información de contacto). Esto no es nada bueno, en especial si la información de contacto incluía números de celular, y es aun peor si esos números de celular se utilizaban en un proceso de autenticación de doble factor, una medida de seguridad clave de muchos servicios en línea.
Sin embargo, la peor parte de todo esto es que, de las 14 millones de cuentas restantes, los hackers se robaron una cantidad mucho más grande y amplia de información personal. En una publicación en su blog de noticias, Facebook comunicó que entre la información robada se encontraba el siguiente contenido:
Nombre de usuario, género, idioma, situación sentimental, religión, lugar de origen, ciudad actual, fecha de nacimiento, dispositivos con los que se accede a Facebook, formación académica, empleo, últimos 10 lugares visitados o en los que se etiquetó al usuario, sitio web, personas o páginas que sigue el usuario y sus 15 búsquedas más recientes.
¡Uf! Ese es justamente el tipo de información que se utilizaría para acosar a alguien, a su familia, responder las preguntas de seguridad que protegen las cuentas de otros, engañar a otros haciéndose pasar por personas que conocen o llevarlos a hacer clic en enlaces maliciosos o divulgar información sensible. Y esas son solo algunas posibilidades que se me ocurren así de bote pronto.
Guy Rosen, un ejecutivo de Facebook, dio una conferencia de prensa el viernes y sostuvo que la empresa todavía no puede confirmar si las víctimas del hackeo también podrían quedar expuestas a ataques fraudulentos por internet, pero considera que es una posibilidad factible. También sostuvo que cuando Facebook notifique a las víctimas del hackeo, les sugerirá que estén atentos a correos electrónicos o mensajes de texto sospechosos que busquen aprovechar la información robada.
En un principio, cuando Facebook admitió el hackeo, algunos se tranquilizaron porque las contraseñas de los usuarios no habían sido robadas. En vez de eso, los hackers utilizaron lo que se denomina “token digital” para acceder a las cuentas sin ingresar la contraseña. También fue un alivio el hecho de que Facebook considere que no se había robado información de tarjetas de crédito.
Pero, es posible que, a la larga, la información obtenida por los hackers termine causando más daño que el que podrían haber causado las contraseñas o la información de tarjetas de crédito. Después de todo, es posible cambiar tu contraseña o conseguir una tarjeta de crédito nueva. Por el contrario, no es tan fácil cambiar de lugar de origen, número de teléfono celular, religión, amigos y familiares o historial de búsqueda.
Ese es el tipo de información que, de estar en las manos equivocadas, podría acechar a los usuarios por años, e incluso por el resto de sus vidas. Y, si bien no sabemos con exactitud quién posee esa información, podemos estar seguros de que no es alguien a quien quisiéramos confiarle aspectos de nuestra vida personal. Ese tipo de información se puede incluso vender o divulgar públicamente en foros en Internet.
Todavía hay mucho que desconocemos sobre este hackeo. Lo que sí sabemos es que, con el tiempo, seguro se conocerán muchos más detalles. Ahora, lo único que pueden hacer las víctimas es esperar que quien haya robado su información la utilice con cuidado o, mejor todavía, que ni siquiera la haya utilizado. Aunque eso no parece muy probable. Y lo más aterrador de todo es que quizás nunca lo sepamos.
Escribe sobre tecnología para Slate.
