Facebook ha dado nuevos datos sobre el hackeo en su red que anunció hace dos semanas. La compañía ha anunciado que enviará en los próximos días mensajes personalizados a los usuarios afectados para que vigilen sms, emails o llamadas sospechosos que puedan recibir, según ha anunciado el vicepresidente de producto, Guy Rosen, en una rueda de prensa telefónica desde la sede de la compañía en Menlo Park (California).
Los datos robados pueden ser usados por los hackers para hacerse pasar por amigos de posibles nuevas víctimas. Los atacantes sacaron de los perfiles pirateados información sobre nombre, género, estado civil, religión, cumpleaños, ciudad actual, tipos de aparatos usados para acceder a Facebook, trabajo, los últimos 10 lugares desde los que entraron a la red social y sus 15 búsquedas más recientes. Ese nivel de especificidad da muchas opciones a los piratas informáticos para intentar hacerse pasar por los afectados ante otros amigos y lograr información, no solo en Facebook, sino también por email o teléfono.
La subdirectora ejecutiva del FBI, Amy Hess, ha dicho este viernes en un acto en Washington, al margen del anuncio de Facebook, que el robo de datos personales es una tendencia cibercriminal creciente: «Vemos una amenaza combinada: Estados-nación que están utilizando piratas informáticos que han delinquido para hacer cumplir sus órdenes y también actores de organizaciones criminales cuyo objetivo es la seguridad nacional, especialmente a través del robo de información personal identificable», ha explicado. Esa información, sobre todo para los 14 millones de usuarios de Facebook que han sido más afectados por el ataque.
Rosen ha repetido una y otra vez que no pueden dar detalles del origen geográfico ni de las intenciones de los hackers porque el FBI se lo había pedido expresamente. El vicepresidente de producto sí ha admitido que el origen de las víctimas es «bastante amplio», pero no ha ido más allá por advertencia de las autoridades federales estadounidense. La compañía está también colaborando con la Comisión de Protección de Datos de Irlanda. La pérdida de datos de usuarios en la Unión Europea podría conllevar una multa para la red social.
Facebook no tiene constancia, por ahora, de que los datos robados se hayan usado o compartido en Internet: «No hemos visto ninguna evidencia de que se haya usado ninguno de estos datos», ha dicho Rosen.
Facebook ha rebajado el número total de afectados de los 50 millones iniciales a 29. El error se debe, según Rosen, a la «extrema rapidez» con la que dieron la información inicial. Los 29 millones se dividen en tres grupos. Un primer grupo de 400.000 usuarios cuyas cuentas los piratas informáticos «ya controlaban», según Rosen. Eso debería haber permitido a Facebook y al FBI acotar el origen de los atacantes. Los otros dos grupos se dividen casi a partes iguales entre 15 y 14 millones y su única diferencia es la profundidad de datos del perfil al que los hackers tuvieron acceso.
La empresa ha insistido en que sus otras marcas —Instagram, WhatsApp o Messenger— no se vieron afectadas. Facebook tampoco tiene evidencia de que los atacantes usaran el acceso a cuentas de Facebook para entrar en otras aplicaciones a las que se puede acceder con el login de la red, como Spotify o Tinder.
La información de tarjetas de crédito no se ha visto comprometida, ha dicho Rosen, aunque sí las últimas cuatro cifras en el caso de algunos usuarios. Este tipo de detalles pueden dar verosimilitud a un mensaje de phishing, donde un hacker se hace pasar por un banco e intenta lograr que alguien dé información —básicamente una contraseña— de manera voluntaria.