Un grupo de cibercriminales puso a la venta un paquete con los datos personales de 120 millones de cuentas de usuarios de Facebook a un precio de 10 centavos de dólar cada una; estas contienen, entre otra información, mensajes privados de los afectados.
Los cibercriminales implicados pusieron un anuncio en el cual promocionaban la oferta, aunque después fue retirado. Los usuarios afectados proceden en su mayoría de Rusia y Ucrania, admitieron los propios hackers, los cuales se establecieron precisamente en Rusia, según señaló el servicio de la BBC en dicho país.
Los hackers aseguran haber obtenido acceso a los datos de los usuarios a través de extensiones maliciosas de navegadores de internet como Chrome, Opera y Firefox, además de extensiones de terceros. Según explicaron a dicho medio de comunicación, su base de datos comprende 120 millones de cuentas en todo el mundo, 2.7 millones de ellos de Rusia, aunque la cifra exacta se ha puesto en entredicho. También se detalló que algunas de las cuentas afectadas pertenecen a personas de Reino Unido, Estados Unidos, Brasil y otros lugares.
La investigación
Este hackeo no está relacionado con la filtración de datos de Cambridge Analytica, según los propios hackers. El anuncio apareció en septiembre, momento en que la compañía de ciberseguridad Digital Shadows inició la investigación que recoge la BBC.
La indagación mostró que la base de datos de los cribercriminales contenía mensajes privados pertenecientes a más de 81 mil usuarios de Facebook.
Asimismo, se han encontrado registros de otros datos pertenecientes a 176 mil perfiles más de Facebook, como direcciones de correo electrónico y números de teléfono.
Por su parte, la red social aseguró al citado medio que no se trata de un fallo de seguridad en la plataforma y que ya reclamó a las autoridades el retiro de los sitios que albergan los datos robados. Todavía no ha trascendido la identidad de las posibles extensiones maliciosas, pero la compañía indicó que ya advirtió sobre ellas a las plataformas de software.
Además, Facebook señaló que ya toma las medidas necesarias para evitar que otros usuarios se vieran afectados.
“Hemos contactado a los fabricantes de navegadores para asegurarnos de que las extensiones maliciosas conocidas ya no estén disponibles para descargar en sus tiendas (...) También nos hemos comunicado con la policía y trabajamos con las autoridades locales para eliminar el sitio web que muestra información de las cuentas", dijo el ejecutivo de Facebook, Guy Rosen.
El anuncio
Según se detalla en el artículo de la BBC, el anunció se presentó por primera vez en septiembre, cuando un mensaje de un usuario apodado FBSaler apareció en un foro de internet en inglés: "Vendemos información personal de los usuarios de Facebook. Nuestra base de datos incluye 120 millones de cuentas", escribió el usuario.
La empresa de seguridad cibernética Digital Shadows examinó el mensaje y confirmó que más de 81 mil de los perfiles publicados en línea como muestra contenían mensajes privados.
Los datos de otras 176 mil también se pusieron a disposición, aunque parte de la información, incluidas las direcciones de correo electrónico y los números de teléfono, pudo haber sido obtenida de miembros que no la habían ocultado.
El Servicio Ruso de la BBC contactó a cinco usuarios de Facebook cuyos mensajes privados habían sido subidos y confirmó que las publicaciones eran suyas. Parece que uno de los sitios web donde se publicaron los datos se estableció en San Petersburgo.
Posibles culpables
Asistentes de compras personales, aplicaciones de marcadores e incluso juegos de mini-rompecabezas se ofrecen desde los navegadores Chrome, Opera y Firefox como extensiones de terceros. Según Facebook, una de éstas supervisó silenciosamente la actividad de las víctimas en la plataforma y envió datos.
El 29 de septiembre circuló la noticia de que la red social tuvo el primer gran hackeo de su historia, en el que al menos 50 millones de cuentas se vieron comprometidas, informó a al FBI y al Irish Data Protection Comission, encargada de velar por el reglamento europeo de protección de datos.