Por Diego Espitia CSA de ElevenPaths, experto en ciberseguridad, @dsespitia
A principio de Semana Santa se hizo pública una base de datos que contiene información sensible de cerca de 533 millones de cuentas de Facebook. Lo que pocos saben es que esto se generó por una vulnerabilidad reportada a finales de 2019 y que fue aprovechada en los primeros meses de 2020. La vulnerabilidad que se detectó inicialmente en Instagram, permitía con el número de móvil obtener los datos de identificador de la cuenta, nombres y apellidos, entre otros.
Por lo que esta información ya se conocía que se había filtrado, pero fue hasta el pasado fin de semana que se descubrió que los datos estaban en línea y que publicaron con un breve análisis de su origen. Ello lo evidenció en su cuenta de Twitter Alon Gal, que es el director de tecnología de Hudson Rock, una empresa de ciberinteligencia.
A diferencia de otras ocasiones en este caso no se expusieron contraseñas. Sin embargo, se arriesgó información sensible que los atacantes pueden usar de muchas formas, pero puntualmente son múltiples datos los que pueden llegar a tener.
El número telefónico, identificador de Facebook, nombres, apellidos, correo electrónico, fecha de nacimiento, empresa, género, fecha de creación del perfil, ciudad de residencia y nacimiento, incluso hasta el estado civil, quedaron expuestos.
Depende de la configuración de permisos y de los datos ingresados, que se obtenga uno o todos los datos que se mencionaron, pero siempre se expone el número telefónico, nombres, apellidos y Facebook ID, siendo el dato del número telefónico sin duda lo más preocupante.
¿Cuál puede ser el potencial ataque?, es la pregunta que todos se hacen. La respuesta es que al tener el Facebook ID (página web del perfil del usuario) y conocer el número móvil del usuario, el atacante puede simplemente solicitar el cambio de contraseña y pedirle al sistema que envié un SMS. Una vez emitido, remite a la víctima un mensaje como el siguiente y espera que le conteste con el código de verificación.
Pero este ataque no solo aplica a cuentas de Facebook. Puede ser con cualquier cuenta que este asociada al número móvil, que su proceso de recuperación sea una validación por SMS o una aprobación, como en los procesos financieros. Así sucedió con varios personajes reconocidos en Colombia en esta Semana Santa que culminó.
Este mecanismo de ataque no es nuevo para los delincuentes y con la ventaja de los datos recibidos en esta fuga les permite perfilar mejor los engaños para que no solo se pierdan redes sociales, sino que incluso podría llegar a generar perdidas económicas directas por verificación de pagos en línea.
Otro interrogante que surge es ¿Cómo prevenir este tipo de situaciones?. Lo fundamental es que la gente comprenda que los códigos enviados por SMS tienen el objetivo de complementar el proceso de identificación, generado por una contraseña o hacer una validación de identidad con la asociación a un dato no solicitado, como el numero móvil en los procesos de recuperación de contraseña.
Por este motivo, ese código tiene la misma importancia que la contraseña que el usuario creo en el servicio y nunca debe ser compartida o reenviada y ninguna entidad o persona tiene porque solicitar que se la envié nuevamente.
Otras medidas que pueden aplicar es la activación del doble factor de autenticación o verificación de dos pasos, el cual está disponible en todos los servicios digitales actuales y que se puede asociar no solo con SMS sino con aplicaciones de OTP (One Time Password).
En algunos casos se puede habilitar el bloqueo por huellas y comprobar las sesiones abiertas que se tienen de todas las aplicaciones o perfiles de redes sociales. De esta manera su puede evitar que se vuelvan a repetir afectaciones a la ciberseguridad como las que se presentó con 533 millones de cuentas de usuarios de Facebook.
Lea también
