USA: Los servicios de inteligencia de EE.UU. confirman que compran datos personales de estadounidenses

Publicado en Tech Crunch
https://techcrunch.com/2023/06/13/us-intelligence-report-purchase-americans-personal-data/

Los servicios de inteligencia de EE.UU. confirman que compran datos personales de estadounidenses

Un informe recién desclasificado afirma que la controvertida práctica plantea "problemas significativos" para las libertades civiles de los estadounidenses

Zack Whittaker@zackwhittaker -13 de junio de 2023

Un informe gubernamental recientemente desclasificado confirma por primera vez que las agencias de inteligencia y espionaje de Estados Unidos compran grandes cantidades de información comercial sobre los estadounidenses, incluidos datos de vehículos conectados, datos de navegación web y teléfonos inteligentes.

Según admite el propio gobierno estadounidense, los datos que adquiere "aportan claramente un valor de inteligencia", pero también "plantean importantes cuestiones relacionadas con la privacidad y las libertades civiles".

La Oficina del Director de Inteligencia Nacional (ODNI) desclasificó y publicó el viernes el informe, fechado en enero de 2022, a raíz de una petición del senador demócrata Ron Wyden para que se revelara cómo utiliza la comunidad de inteligencia los datos disponibles comercialmente. Este tipo de datos se generan a partir de dispositivos conectados a Internet y son puestos a disposición por intermediarios de datos para su compra, como aplicaciones telefónicas y vehículos que recopilan datos de localización granular y datos de navegación web que rastrean a los usuarios mientras navegan por Internet.

El informe desclasificado es la primera revelación pública del gobierno de Estados Unidos sobre los riesgos asociados a los datos comerciales de los estadounidenses que pueden ser adquiridos fácilmente por cualquiera, incluidos adversarios y naciones hostiles. Estados Unidos carece de una ley de privacidad o protección de datos que regule el intercambio o la venta de información privada de los estadounidenses.

"De una manera que muchos menos estadounidenses parecen entender, y aún menos de ellos pueden evitar, [la información disponible comercialmente] incluye información sobre casi todo el mundo que es de un tipo y nivel de sensibilidad que históricamente podría haber sido obtenida" por otras capacidades de recopilación de inteligencia, tales como órdenes de registro, escuchas telefónicas y vigilancia, dice el informe.

En una declaración tras la publicación del informe, Wyden afirmó: "Esta revisión muestra que las políticas actuales del gobierno no han proporcionado las salvaguardias esenciales para la privacidad de los estadounidenses, ni la supervisión de cómo las agencias compran y utilizan los datos personales".

"Según este informe, la ODNI ni siquiera sabe qué agencias federales de inteligencia están comprando los datos personales de los estadounidenses", añadió Wyden.

El informe corrobora una serie de informaciones aparecidas en los medios de comunicación, según las cuales las agencias gubernamentales de Estados Unidos estaban comprando enormes conjuntos de datos sobre los estadounidenses. El Servicio de Impuestos Internos compró el acceso a una enorme base de datos que almacenaba la ubicación de millones de teléfonos estadounidenses para tratar de atrapar a los defraudadores fiscales, mientras que la Seguridad Nacional utilizó datos similares de localización de teléfonos para hacer cumplir las leyes de inmigración.

Normalmente, las agencias gubernamentales deben obtener una orden judicial para obtener datos privados de los estadounidenses directamente de una compañía telefónica o tecnológica, como los mensajes privados. Pero el informe del ODNI afirma que en los casos en que la información de los estadounidenses -como los datos de localización- está abiertamente a la venta al público en general, las agencias de inteligencia estadounidenses pueden comprarla. (Aunque, esta teoría todavía tiene que ser examinada en un tribunal federal).

Aunque estos datos suelen venderse a granel -a menudo millones de puntos de datos a la vez-, el informe del ODNI advierte de que los datos disponibles comercialmente pueden desanonimizarse fácilmente para identificar a personas, incluidos estadounidenses. Los datos de localización, por ejemplo, pueden utilizarse para deducir dónde viven y trabajan las personas, basándose en dónde se encuentran sus teléfonos y vehículos a determinadas horas del día.

La información disponible comercialmente también puede revelar "los movimientos y asociaciones detallados de individuos y grupos, revelando actividades políticas, religiosas, de viajes y discursos", dice el informe, como cuando se utiliza para "identificar a cada persona que asistió a una protesta o manifestación basándose en la ubicación de su teléfono inteligente o en los registros de seguimiento de anuncios".

"En las manos equivocadas, la información sensible obtenida a través de [información disponible comercialmente] podría facilitar el chantaje, el acecho, el acoso y la vergüenza pública", dice el informe. El informe señalaba que en 2021, los datos de localización disponibles comercialmente recogidos de una aplicación de citas gay se utilizaron para denunciar a un sacerdote católico, que posteriormente dimitió. El informe también hace referencia a la recopilación y venta de datos de localización de una aplicación de oración musulmana al ejército estadounidense.

Wyden hizo un llamamiento al Congreso para que apruebe una legislación que "ponga barreras a las compras del gobierno, para frenar a las empresas privadas que recopilan y venden estos datos, y mantener la información personal de los estadounidenses fuera del alcance de nuestros adversarios".

****************

US intelligence confirms it buys Americans’ personal dataA newly declassified report says the controversial practice raises "significant issues" for Americans' civil liberties

Zack Whittaker@zackwhittaker •June 13, 2023

A newly declassified government report confirms for the first time that U.S. intelligence and spy agencies purchase vast amounts of commercially available information on Americans, including data from connected vehicles, web browsing data, and smartphones.

By the U.S. government’s own admission, the data it purchases “clearly provides intelligence value,” but also “raises significant issues related to privacy and civil liberties.”

The Office of the Director of National Intelligence (ODNI) declassified and released the January 2022-dated report on Friday, following a request by Sen. Ron Wyden (D-OR) to disclose how the intelligence community uses commercially available data. This kind of data is generated from internet-connected devices and made available by data brokers for purchase, such as phone apps and vehicles that collect granular location data and web browsing data that tracks users as they browse the internet.

The declassified report is the U.S. government’s first public disclosure revealing the risks associated with commercially available data of Americans that can be readily purchased by anyone, including adversaries and hostile nations. The United States does not have a privacy or data protection law governing the sharing or selling of Americans’ private information. 

“In a way that far fewer Americans seem to understand, and even fewer of them can avoid, [commercially available information] includes information on nearly everyone that is of a type and level of sensitivity that historically could have been obtained” by other intelligence gathering capabilities, such as search warrants, wiretaps and surveillance, the report says.

In a statement following the report’s publication, Wyden said: “This review shows the government’s existing policies have failed to provide essential safeguards for Americans’ privacy, or oversight of how agencies buy and use personal data.”

“According to this report, the ODNI does not even know which federal intelligence agencies are buying Americans’ personal data,” Wyden added.

The report corroborates a stream of media reports that found U.S. government agencies were buying huge datasets on Americans. The Internal Revenue Service bought access to a huge database storing the location data of millions of Americans’ phones to try to catch tax cheats, while similar phone location data was used by Homeland Security for immigration enforcement.

Government agencies must typically secure a court-approved warrant to obtain Americans’ private data directly from a phone or tech company, such as private messages. But the ODNI’s report states that in the cases where Americans’ information — like location data — is openly for sale to the general public, U.S. intelligence agencies can purchase it. (Though, this theory has yet to be scrutinized in federal court.)

Although this data is generally sold in bulk — often millions of data points at a time — the ODNI’s report warns that commercially available data can be easily deanonymized to identify individuals, including Americans. Location data, for example, can be used to infer where people live and work, based on where their phones and vehicles are at certain times of the day.

Commercially available information can also reveal “the detailed movements and associations of individuals and groups, revealing political, religious, travel, and speech activities,” the report says, such as being used to “identify every person who attended a protest or rally based on their smartphone location or ad-tracking records.”

“In the wrong hands, sensitive insights gained through [commercially available information] could facilitate blackmail, stalking, harassment, and public shaming,” the report said. The report noted that in 2021, commercially available location data collected from a gay dating app was used to out a Catholic priest, who later resigned. The report also referenced the collection and sale of location data from a Muslim prayer app to the U.S. military.

Wyden called for Congress to pass legislation to “put guardrails around government purchases, to rein in private companies that collect and sell this data, and keep Americans’ personal information out of the hands of our adversaries.”

********

LinkedIn hizo experimentos con millones de sus usuarios, sin avisarles

Publicado en The New York Times en español
https://www.nytimes.com/es/2022/09/28/espanol/linkedin-experimento-social.html?campaign_id=42&emc=edit_bn_20220930&instance_id=73290&nl=el-times&regi_id=84791720&segment_id=108523&te=1&user_id=f8de94556199c222487f9ed6b135dc23

LinkedIn hizo experimentos con millones de sus usuarios, sin avisarles

Un estudio que analizó esas pruebas descubrió que las conexiones sociales relativamente débiles eran más útiles para encontrar trabajo que los vínculos sociales más fuertes.

Por Natasha Singer

Natasha Singer, reportera de negocios de The New York Times, imparte un curso de periodismo de responsabilidad tecnológica en el programa de verano del Times para estudiantes de secundaria.

28 de septiembre de 2022

Read in English

LinkedIn hizo experimentos con más de 20 millones de usuarios durante cinco años que, aunque se efectuaron con la intención de mejorar cómo funciona la plataforma para los miembros, podrían haber afectado los ingresos de algunas personas, según un nuevo estudio.

En experimentos realizados en todo el mundo de 2015 a 2019, LinkedIn varió al azar la proporción de contactos débiles y fuertes que sugirió su algoritmo “Gente que podrías conocer” (el sistema automatizado de la compañía para recomendar conexiones nuevas a sus usuarios). Se detallaron las pruebas en un estudio publicado este mes en la revista Science cuyos coautores son investigadores de LinkedIn, el Instituto Tecnológico de Massachusetts (MIT, por su sigla en inglés), la Universidad de Stanford y la Facultad de Negocios de la Universidad de Harvard.

Los experimentos algorítmicos de LinkedIn podrían sorprender a millones de personas porque la compañía no le notificó a los usuarios sobre las pruebas.

Las grandes empresas tecnológicas como LinkedIn, la red de contactos profesionales más grande del mundo, hacen experimentos a gran escala de manera rutinaria en los que prueban versiones de las funciones de la aplicación, de los diseños web y de los algoritmos en distintas personas. La práctica de larga data, llamada test A/B, tiene el objetivo de mejorar las experiencias del consumidor y mantenerlos involucrados, lo que ayuda a las compañías a hacer dinero a través de cuotas de membresías prémium o publicidad. A menudo, los usuarios no tienen idea de que las compañías hacen pruebas con ellos. (The New York Times usa esas pruebas para evaluar la redacción de los titulares y tomar decisiones sobre los productos y artículos que la empresa lanza al mercado).

No obstante, los cambios hechos por LinkedIn indican cómo esas modificaciones a algoritmos muy usados pueden convertirse en experimentos de ingeniería social con consecuencias que pueden alterar la vida de muchas personas. Expertos que estudian los efectos de la computación en la sociedad afirmaron que realizar experimentos prolongados y a larga escala en las personas que podrían afectar sus perspectivas laborales, de maneras invisibles para ellas, generaba cuestionamientos sobre la transparencia de la industria y la supervisión de la investigación.

Michael Zimmer, profesor asociado de Informática y director del Centro de Datos, Ética y Sociedad en la Universidad Marquette, comentó: “Los hallazgos indican que algunos usuarios tuvieron mejor acceso a oportunidades de empleo o una diferencia significativa en el acceso a oportunidades de trabajo. Este es el tipo de consecuencias a largo plazo que se necesita contemplar cuando pensamos en la ética de participar en esta clase de investigación de inteligencia de datos”.

El estudio en Science examinó una teoría influyente en sociología llamada “la fortaleza de los lazos débiles”, la cual indica que es más probable que las personas obtengan empleo y acceso a otras oportunidades a través de conocidos no tan cercanos que a través de amigos íntimos.

Los investigadores analizaron cómo los cambios al algoritmo de LinkedIn habían afectado la movilidad laboral de los usuarios. Descubrieron que los lazos sociales relativamente débiles en LinkedIn probaron tener el doble de efectividad para asegurar un empleo que los lazos sociales más fuertes.

En un comunicado, LinkedIn dio a conocer que durante el estudio había “actuado de conformidad” con las condiciones de uso y la política de privacidad de la compañía, así como con la configuración del usuario. La política de privacidad señala que LinkedIn usa los datos personales de los miembros con fines de investigación. El comunicado agregó que la empresa utilizó las técnicas de sociología más recientes y “no invasivas” para responder preguntas de investigación importantes “sin ninguna experimentación con los miembros”.

LinkedIn, que es propiedad de Microsoft, no respondió de manera directa a una pregunta sobre cómo había calculado la compañía las consecuencias potenciales a largo plazo de sus experimentos en el empleo y el estatus económico de los usuarios. Sin embargo, la empresa aseguró que la investigación no había dado una ventaja desproporcionada a algunos usuarios.

Karthik Rajkumar, un científico de investigación aplicada en LinkedIn que fue uno de los coautores del estudio, explicó que la meta de la investigación era “ayudar a las personas a escala. No se puso a nadie en desventaja para encontrar empleo”.

Sinan Aral, un profesor de administración y ciencia de datos en el MIT y autor principal del estudio, comentó que los experimentos de LinkedIn fueron una iniciativa para garantizar que los usuarios tuvieran igualdad de acceso a las oportunidades de empleo.

Aral precisó: “Hacer un experimento con 20 millones de personas y después implementar un algoritmo más adecuado para mejorar las perspectivas de empleo de todos como resultado de los conocimientos que adquiriste con eso es lo que ellos intentan hacer, no otorgar movilidad social a algunas personas y a otras no”. (Aral ha realizado análisis de datos para The New York Times y recibió una beca de investigación de Microsoft en 2010).

Los experimentos que involucran a los usuarios hechos por grandes empresas de internet tienen un historial irregular. Hace ocho años, se publicó un estudio de Facebook que describía cómo la red social había manipulado en secreto qué publicaciones aparecían en la sección de noticias de los usuarios para analizar la propagación de las emociones negativas y positivas en su plataforma. El experimento de una semana, llevado a cabo con 689.003 usuarios, de inmediato generó reacciones negativas.

El estudio de Facebook, cuyos autores incluían a un investigador de la empresa y a un profesor de Cornell, sostenía que las personas habían consentido implícitamente el experimento de manipulación de emociones cuando se habían registrado en Facebook. “Todos los usuarios están de acuerdo antes de crear una cuenta en Facebook”, decía el estudio, “lo que constituye un consentimiento informado para esta investigación”.

Estados Unidos pone coto al comercio opaco de datos de las aplicaciones de salud

Publicado en El País
https://elpais.com/tecnologia/2021-09-23/estados-unidos-pone-la-lupa-sobre-las-aplicaciones-de-salud.html

Estados Unidos pone coto al comercio opaco de datos de las aplicaciones de salud

El organismo regulador amenaza con cuantiosas multas a las grandes tecnológicas si utilizan o comparten con terceros información médica sin permiso de los usuarios

Manuel G. Pascual

Madrid - 22 sept 2021

Los datos médicos son demasiado sensibles como para que las empresas los puedan intercambiar a la ligera. El regulador de Estados Unidos, la Comisión Federal de Comercio (FTC en sus siglas inglesas), acaba de poner bajo aviso a las compañías que gestionan aplicaciones relacionadas con la salud de que cualquier movimiento relacionado con ese tipo de información deberá realizarse con el consentimiento del usuario al que le afecte. De no ser así, la empresa responsable se enfrentará a multas de hasta 43.792 dólares por violación y día. El movimiento cobra especial relevancia porque la mayoría de las grandes tecnológicas (Amazon, Google, Microsoft o Apple) se han lanzado en los últimos tiempos al asalto del mercado sanitario.

La normativa estadounidense ha sido tradicionalmente laxa en lo tocante a la protección de la privacidad. Con una importante excepción: los datos sanitarios. La Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA, en sus siglas inglesas) fijó en 1996 los estándares. Quedó prohibido facilitar datos médicos a nadie que no sea el propio paciente, a menos que se cuente con su consentimiento. Una norma de 2009, la Health Breach Notification Rule, extendió esas responsabilidades al entorno digital: las empresas sujetas al HIPAA deben mantener la misma confidencialidad en el ciberespacio.

La nueva orden de la FTC amplía todavía más el foco de la normativa: las empresas cuya actividad principal no sea la salud pero que aun así gestionen datos médicos deberán cumplir también con las mismas garantías. Aunque no las menciona, el regulador se refiere a empresas como Google, Apple, Amazon o Microsoft, que llevan tiempo recogiendo este tipo de datos de varias fuentes, como dispositivos conectados o aplicaciones.

“La Comisión se ha dado cuenta de que las aplicaciones de salud, que pueden rastrear desde los niveles de glucosa en sangre de los diabéticos hasta parámetros relacionados con la fertilidad o las horas de sueño, cada vez recopilan más datos sensibles y personales de los consumidores”, destaca el comunicado de la FTC. “Estas aplicaciones tienen la responsabilidad de asegurarse de que mantienen a buen recaudo los datos que recogen, lo que incluye prevenir el acceso no autorizado a esa información”.

Las aplicaciones vinculadas a la salud y otros dispositivos conectados, señala la FTC, no solo son ampliamente usadas por la población, más si cabe tras la pandemia, sino que son objetivos codiciados para los ciberdelincuentes. “Y aún así, hay pocas protecciones para su privacidad”, se indica en el informe.

https://www.ftc.gov/news-events/events-calendar/open-commission-meeting-september-15-2021

Open Commission Meeting – September 15, 2021 Sep 15, 2021

“Aunque [la normativa de 2009] impone algunas medidas para que las tecnológicas que hacen mal uso de nuestra información rindan cuentas, existe el problema de que se mercantilice la información médica sensible de la gente. Las empresas pueden usar esa información para alimentar su publicidad dirigida o sus herramientas analíticas”, dijo la comisaria Lina M. Khan en un comunicado. “Dada la prevalencia de la publicidad dirigida, la Comisión debería supervisar qué datos se recogen y si los modelos de negocio que se desarrollan a su alrededor crean incentivos que ponen en riesgo la seguridad de esos datos”, añadió.

En la Unión Europea, si una empresa quiere compartir los datos personales de sus clientes con otras compañías debe ponerlo en conocimiento del usuario. Así lo establece el Reglamento General de Protección de Datos (RGPD), una de las normas más garantistas del mundo en este sentido. La regulación estadounidense siempre ha sido más permisiva en términos de privacidad que en Europa. “Existen normativas que defienden la privacidad de los usuarios, como la del Estado de California, pero todavía no hay una norma federal. Por lo general son menos estrictos, aunque la tendencia es que poco a poco vayan convergiendo con nosotros”, explica Borja Adsuara, experto en derecho digital.

“En Estados Unidos, la normativa no suele poner tanto énfasis en la protección de los individuos, pero las empresas saben que si se saltan la ley serán perseguidas de forma implacable”, apunta por su parte Frederic Llordachs, cofundador de Doctoralia, un portal de recomendación de facultativos que él define como “el Booking de médicos” y buen conocedor de la normativa aplicable al sector.

El asalto tecnológico de la salud

La orden de la FTC es un claro aviso a las grandes tecnológicas de que el regulador va a estar pendiente de cómo tratan los datos médicos. El sector sanitario es, de hecho, uno de los que más atracción ejercen en la actualidad sobre las GAFAM (Google, Amazon, Facebook, Apple y Microsoft). Quizás la apuesta más ambiciosa en este sentido es Amazon Care, un programa ya disponible en algunas ciudades de Estados Unidos que combina la telemedicina a través de una aplicación propia con las visitas a domicilio de facultativos.

Microsoft, por su parte, desembolsó en abril unos 16.500 millones de euros para comprar Nuance, la empresa de inteligencia artificial y reconocimiento de voz más respetada en los ambientes médicos. Al tratarse de la segunda mayor adquisición de la historia de la compañía (solo le gastó más, unos 22.000 millones, al comprar LinkedIn), el mensaje que dio a la industria fue claro: quieren convertirse en la referencia en el procesamiento de datos sanitarios.

Alphabet, la matriz del buscador más usado del mundo, tiene una división entera, Google Health, dedicada a “desarrollar herramientas e iniciativas que ayuden a todo el mundo a tomar decisiones de salud más informadas”. Uno de los pilares de su estrategia, según subraya su web, es hacer más accesible la información médica. En cuanto a Apple, el empeño de la compañía en recoger datos de la salud de los usuarios de sus productos, especialmente del iPhone y del Apple Watch, es bien conocido.

Estas empresas y otras muchas más deberán ser más cuidadosas a partir de ahora con el tratamiento que le apliquen a los datos de sus usuarios. “La FTC debe usar todas las herramientas a su alcance para proteger los datos médicos de los usuarios, aunque también tenemos que controlar los modelos de negocio que los monetizan”, tuiteó Khan.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.

LinkedIn: nueva filtración de datos. Afecta a 700 millones de usuarios

LinkedIn: nueva filtración de datos. Afecta a 700 millones de usuarios

Publicado en El Español

https://www.elespanol.com/omicrono/tecnologia/20210630/venden-datos-usuarios-linkedin-direccion-cobran/592941177_0.html

Los usuarios de LinkedIn, en riesgo: a la venta los datos personales de 700 millones de registrados LinkedIn ha sufrido la mayor filtración de datos de usuarios en su historia. 

Los datos de hasta el 92% de los usuarios de la web se han filtrado y se están vendiendo. 

30 junio, 2021

Manuel Fernández                     

Volvemos a estar ante una nueva filtración de datos. Esta vez es muy grave y afecta también a usuarios ubicados en España y en el resto del mundo. Hablamos de la última filtración de datos que ha sufrido LinkedIn, la red social laboral más importante.

Prácticamente la totalidad de los usuarios han visto cómo sus datos no sólo se filtraban, sino que también se vendían. Según recoge PrivacySharks, un usuario afirma estar en posesión de información sensible de 700 millones de usuarios y actualmente los está vendiendo.

Esta filtración se suma a la que ya sufrió la misma red social en abril de este mismo año que ya afectó a 500 millones de usuarios. Esta nueva publicación, con 700 millones de registros, incluye información como su dirección física o incluso sus ingresos laborales.

LinkedIn sufre otra filtración

Un usuario conocido como TomLiner declaró que estaba en posesión de datos de hasta 700 millones de usuarios. Ante esa afirmación, se vio obligado a lanzar una pequeña muestra de un millón de registros en un foro hacker de compra-venta de información. Tras verificar que esa información era real, se ha procedido a hacer un rastreo de qué información se ha comprometido en dicha filtración.

Y no son datos nada optimistas. Todo lo contrario; se incluyen nombres completos, direcciones de correo electrónico, información empresarial diversa y números de teléfono. Si bien no se han filtrado datos más serios, como datos bancarios, sí que hay suficiente información para que los hackers puedan causar mucho daño a un usuario usando sólo lo que hay en estos registros.

En una declaración oficial de LinkedIn, la red social asegura que esta no ha sido una filtración directa de LinkedIn; es decir, que la plataforma no ha sufrido una brecha de seguridad. Estos datos, según han podido comprobar desde la web, corresponderían a otras fuentes, por lo que esta sería una acumulación de filtraciones anteriores con datos recogidos tanto de LinkedIn como de otras webs.

Lo que sí se recogió de la propia red social son los datos más básicos para recopilar toda la información de los perfiles. 

Según asegura la propia LinkedIn, su investigación "ha determinado que no se expuso ningún dato privado de miembros de LinkedIn. La extracción de datos de LinkedIn es una violación de nuestros Términos de servicio y trabajamos constantemente para garantizar que la privacidad de nuestros miembros esté protegida".

Una seria amenaza

El problema de esta filtración no está en la sensibilidad per se de los datos, sino en su conjunto. Toda esta información es todo un caramelo para los hackers, ya que pueden realizar todo tipo de delitos con ellos; desde robos de identidad hasta campañas de phishing, pasando por fraudes bancarios y estafas en Internet gracias a dichos datos.

Eso sin contar que dicha información se puede rastrear y por ende puede ser el camino perfecto para unos pocos hackers a los que les basta un simple correo electrónico para atacar. Usando estas direcciones de correo electrónico, los hackers pueden intentar acceder a las cuentas de los usuarios utilizando varias combinaciones de caracteres de contraseña comunes, y eso es solo el principio.

Es importante que actualices tu contraseña en LinkedIn. Si es la misma que usas para varios servicios, te recomendamos que la cambies en todos ellos. Además, te recomendamos activar la verificación en dos pasos para protegerte de los intentos de hackeo a tu cuenta.

Una brecha de Facebook permitió la extracción de datos de 533 millones de personas

Publicado en El País

https://elpais.com/tecnologia/2021-04-04/una-brecha-de-facebook-permite-crear-un-listin-telefonico-global-de-500-millones-de-personas.html?ssm=FB_CM_TEC&utm_source=Facebook&fbclid=IwAR1-bwCtDIZhoaG4NNpbIwNQ2HhypJWDYrHtD3_JrfUZfPuxZNuMAluJzS4#Echobox=1617558040

Una brecha de Facebook permite crear un listín telefónico global de 533 millones de personas

Los datos proceden de un agujero de seguridad subsanado en 2019, según una portavoz de la compañía

Jordi Pérez Colomé

04 abr 2021 

Archivos con datos personales de 533 millones de usuarios de Facebook aparecieron este sábado en un pequeño foro de hackeo. Los datos incluyen el número de teléfono, nombre completo, número de identificación en Facebook, localización actual y anterior, fecha de nacimiento, correo electrónico, fecha de creación, estado sentimental y biografía. La particularidad de la brecha es que incluye cientos de millones de números de teléfono vinculados a sus propietarios, entre ellos 10,8 millones de españoles y de otros países latinoamericanos.

En enero, estos datos se vendían a través de Telegram: un bot ofrecía en la aplicación de mensajería Telegram el número de móvil de estos usuarios a cambio de un pago. Este sábado, el director técnico de la empresa de ciberinteligencia HudsonRock, Alon Gal, encontró la base de datos completa y gratis.

 Facebook dice que los datos pertenecen a una brecha parcheada en 2019, con lo que la información filtrada tiene al menos un par de años. Es probable, sin embargo, que muchos de esos números de teléfono sigan activos. La compañía no ha aclarado aún si comunicó a los afectados que sus datos estaban expuestos o si tiene previsto hacerlo. EL PAÍS ha pedido a Facebook más aclaraciones, por ahora sin respuesta. En 2019, Facebook advirtió de la filtración de una base de datos con más de 400 millones de números de teléfono junto al número de identificación en Facebook. Los archivos que han aparecido ahora incluyen muchos más detalles.

 El peligro de estos datos va más allá del hackeo de cuentas de Facebook, ya que en principio no hay contraseñas afectadas. La combinación de datos personales hace mucho más eficaz ataques de ingeniería social, como el phishing. No es lo mismo recibir un SMS de un falso paquete de Correos que dirigido al nombre del receptor, con su fecha de nacimiento u otros detalles personales.

 La base de datos contiene información de usuarios de 108 países del mundo. El australiano Troy Hunt, creador de Have I Been Pwned, que reúne filtraciones de correos electrónicos para saber si una cuenta ha sido afectada, ya ha introducido este conjunto de datos en su página. La relativa buena noticia es que solo el 0,5% de los usuarios de esta brecha de Facebook han visto su correo afectado, según Hunt. Ahora está valorando si incluir en su web los números de teléfono para prevenir más si cabe a los usuarios de que su número de teléfono puede estar en manos de cibercriminales.

 En su hilo, Hunt dice haber oído casos de más SMS dirigidos personalmente a víctimas, aunque no tiene ninguna prueba de que esté asociado a esta brecha. En un análisis centrado en los ficheros españoles, estas son las cifras que ha encontrado la cuenta de @ciberpolies.