5 abr. 2021

Reflexiones personales y FAQ sobre los datos expuestos de #Facebook

Las historias de las filtraciones de datos de Facebook ya no deberían ser noticia, deberían ser un recordatorio diario de que subir datos personales a las redes sociales y a la nube en general no es una buena idea.

El último suceso de este tipo hecho público, fue a finales de 2019, cuando se supo que millones de registros de Facebook, Instagram y Whatsapp habían sido obtenidos de diversas maneras por atacantes y que los mismos se encontraban a la venta en distintos foros de hacking y canales de Telegram. Aquí hay un ejemplo del formato de dichos archivos.

Como menciono aquí, la filtración era conocida por algunos "pocos" pero, a partir del sábado pasado dicha base de datos con 533 millones de registros (en realidad fueron 509.458.528 cuentas, el 20% del total de cuentas) se hizo pública en Internet y cualquiera la puede bajar desde distintas URL, canales de chat, medios para compartir archivos, etc.

Dicha base de datos tiene el siguiente formato:

  • Número de teléfono móvil
  • ID interno de FB
  • Nombre
  • Apellido
  • Correo electrónico
  • Sexo
  • Actividad laboral
  • Relación sentimental
  • Ubicación
  • Fecha de último login

En Internet se consiguen varias versiones de las filtraciones, las cuales son diferentes, no están relacionadas entre sí y parecen haber sido obtenidos por diferentes personas en diferentes momentos. Los datos se podrían haber conseguido mediante scrapping o, en el caso del número móvil, a través de la configuración incorrecta de seguridad, cuando un usuario decide compartirlo y no tiene marcado "solo yo" en la visualización de su perfil.

A partir de dicha filtración decidí crear una simple página de consulta (esta), a partir de los archivos públicos que están disponibles en Telegram, Mega, Pastebin, Torrent, y cientos de otros repositorios. Dicha página elimina los datos personales completamente, anonimiza el teléfono móvil y no brinda ningún tipo de información sobre el mismo. Se pueden consultar los siguientes países de América Latina:

  • AR 2.339.555 registros
  • BO 2.969.209 registros
  • CL 6.889.081 registros
  • CO 12.735.073 registros
  • EC 318.824 registros
  • GT 1.645.068 registros
  • MX 1.333.0561 registros
  • PE 8.075.316 registros
  • UY 1.509.317 registros

El uso es muy sencillo, ingresas tu número de móvil y te informa si el mismo está o no en la base de datos filtrada. Simplemente se informa por "SI" o "NO", no se brinda ningún otro dato, porque, como expliqué anteriormente, los mismos se han eliminado.

A partir de dicha publicación recibí cientos de comentarios constructivos, positivos y negativos. A los positivos, GRACIAS; a los negativos, ignorarlos y, para las criticas constructivas, he creado esta FAQ con los distintos aspectos que surgen de la publicación.

¿Los datos son públicos?

No, pero sí. Los datos han sido recolectados desde Facebook por alguien desconocido y han circulado de forma "abierta" por Internet al menos durante un año; antes se encontraban a la venta pero ahora pueden ser accedidos libremente en archivos ZIP.

Aquí vale la pena remarcar que "abierto" no implica que sean datos públicos (no lo eran cuando los subiste a la red social). En este caso están "abiertos" por motivos ajenos a la voluntad del dueño de datos; están abiertos porque (ahora) no existen medidas técnica que impidan el acceso a los mismos. Este es un concepto muy utilizado cuando se habla de OSINT (Open Source Intelligence).

¿Quién compiló y/o publico los archivos?

No lo sé.

¿Los datos solo involucran a FB o a Instagram y Whataspp también?

Son la misma empresa, involucran a todo lo que tengan registrado de un usuario, en cualquiera de sus servicios. Los datos son los mencionados arriba y cientos de otros marcadores que las redes sociales recolectan continuamente. 

Que las redes sociales hagan eso, ¿es legal?

Sí, desde el momento en que aceptaste (sin leer) las Políticas de Privacidad de esas empresas.

¿Por qué aparecen mis datos?

Porque en algún momento Facebook o tú han configurado incorrectamente el perfil de la red social y esto permitió que los datos pudieran ser recolectados de forma manual o automática por alguien con más o menos conocimiento técnico.

Es decir, Facebook no cumple (nunca lo ha hecho) el principio de Privacidad por Defecto y desde el Diseño muy conocido en Seguridad de la Información e impulsado por el RGPD de Europa. Este principio dice que los datos deben ser protegidos por defecto (desde el momento del diseño del sistema), al margen de las decisiones y uso del usuario. Como Facebook no cumple este y otros principios, descarga la responsabilidad en el usuario. Las consecuencias son que tus datos fueron (y son) extraídos desde la red social por falta de protección y mala configuración.

Si ya borre mi perfil de FB o mi número, ¿por qué mis datos aún figuran?

Porque, cuando se recolectan los datos, todos pasan a engrosar un archivo general de información. No importa si luego borras esa información, el delincuente ya los tiene. Recuerda: lo que sube a Internet, NUNCA más baja.

¿Puedo conseguir la base de datos y verificar si aparezco?

Sí, te descargas el archivo de cada país y te buscas manualmente. Los archivos tienen varios Megabyte de solo texto. Para alguien técnico implica un trabajo sencillo de un par de minutos. Para un usuario novato podría significar un problema.

Soy un usuario novato, ¿necesito de esta página?

No, pero es más fácil (y probablemente más seguro) buscarlo de esta manera que buscar los archivos. Ese es el objetivo que perseguimos, ayudar al usuario novato y concientizar en el proceso.

Soy un experto, ¿necesito de esta página?

No, si deseas puedes buscar los archivos por tí mismo.

OK, puedo consultar mi propio número, ¿y el de otra persona?

Puedes consultar un número cualquiera pero no los datos de la persona a quien pertenece ese número porque, los hemos eliminado. 

Entonces, ¿puedo hacer una consulta masiva a la base de datos?

No, no deberías, la consulta es individual. Pero, si eres más técnico, puedes intentar crear un bot; en la mayoría de los casos serás bloqueado por el CAPTCHA que aparece en la página. Y, si eres experto puedes hacerlo, pero sería más fácil y barato buscar los archivos en Internet.

¿Cómo se que los archivos descargados son los correctos?

No lo sabes, hay cientos de archivos peligrosos o malware que los delincuentes utilizan para infectarte y que harán pasar por los archivos reales. De nuevo, si eres experto no necesitas de esta página, buscarás los archivos por tí mismo.

¿Segu-Info va a publicar los archivos?

No, nunca. Eso favorece y facilita el trabajo de otros delincuentes que usarán los datos personales para realizar robos, estafas, fraudes y para infectarte.

Y, Segu-Info ¿por qué los tiene?

Porque fueron publicados en fuentes abiertas y se encuentran disponibles en cientos de sitios en Internet (como explico arriba).

¿Tienes permiso para tener esos datos?

No, nadie los tiene, pero la pregunta es incorrecta, es la filosofía de "matar al mensajero". La pregunta correcta sería ¿por qué Facebook no protege adecuadamente la información que tú le confiaste? o en última instancia ¿por qué entregaste dichos datos? o, ¿por qué circularon en Internet durante un año y ahora, que la fuga se hizo pública de forma masiva, me reclamas a mí?

Pero, ¿Tienes permiso para tener, manipular y mostrar esos datos?

No, nadie los tiene. Por eso hemos anonimizado dichos datos, esto es: eliminar la información personal (como nombre, apellido, sexo, ubicación, etc.). y dejar sólo parte del número de móvil, sin identificar a quien pertenece.

Pero, hacer eso ¿es legal?

Los distintos países tienen Ley de Protección de Datos Personales en donde se define qué es un Dato Personal. Por ejemplo, en Argentina la Ley 25.326 dice en su artículo 2:

— Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

— Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Por eso, para evitar tener tus datos personales, hemos eliminado la información personal que te identifica unívocamente como "personas físicas o de existencia ideal determinadas o determinables".

Pero, ¿eso es éticamente correcto?

La ética es mi principal preocupación aquí. Si te ayudo a saber si tu número está en un listado ¿qué sería lo incorrecto? De nuevo, si no confías o tienes dudas, no utilices la página, es tú derecho.

Y, te pregunto, ¿es ético o correcto publicar un enlace con todos los 533 millones de datos sin anonimizar?

¿Es seguro usar esa página web?

Si entras, es bajo tu propia responsabilidad, como todo lo que haces en la vida y en Internet. Eres dueño de ingresar y confiar, o no. Nosotros hemos hecho lo mejor posible para no violar tu intimidad y proteger tus datos. Piensa en eso la próxima vez que entregues tus Datos Personales a una empresa cualquiera.

Pero, si pongo mi número de teléfono ¿me dice si estoy en la BD?

Sí, te informo "Tu número está o no". Nada más.

Pero entonces ¿sabes quien soy?

No, tu eres un anónimo que ingresa al sitio y tu número de móvil no significa nada para nosotros. Ya no hay registro ni relación entre el número de móvil y la persona, porque los hemos eliminado.

Entonces ¿qué guardas si entro al sitio?

Nada, pero eres dueño de creerme o no, eres dueño de no usar el sitio, eres dueño de tus datos, pero parece que eso no te importó cuando se los regalaste a Facebook.

Nuestra página web ni siquiera cuenta la cantidad de visitas, no tiene publicidad ni ads, no guarda tu dirección IP, ni los números telefónicos consultados, no se utiliza ningún de software de base de datos, solo se utilizan archivos de texto plano originales previamente anonimizados.

Pero, de nuevo, eres dueño de creerme o no. Como dice al pie de la página, sería bueno que te hicieras las mismas preguntas cuando te registras en servicios "gratuitos" en Internet.

Quiero que borres mi número ¿Puedes hacerlo?

Sí, escríbenos y lo haremos. Eliminaremos de nuestro archivo anonimizado tu número, pero seguirá estando en los cientos de lugares donde ya se publicaron los archivos.

¿Por qué o para qué lo haces?

Porque creo en concientizar a las personas y esta es una buena oportunidad para que todos aprendamos a administrar nuestros Datos Personales; explicar porqué Internet y las redes sociales son una herramienta invaluable, pero que no significa que debamos regarles nuestra vida, son empresas privadas y para ellos nuestros datos sí tienen precio. Creo en ayudar desinteresadamente y entiendo la desconfianza, -que es adecuada y la comparto, porque también soy un paranoico- y, por eso también entiendo las preguntas anteriores y muchas otras.

Pero entonces, ¿qué ganas con esto?

Nada, son horas perdidas de desarrollo (durante un domingo de Pascuas), compilación de datos, anominización, publicación del sitio web, desarrollar esta FAQ, discutir con la gente que detrás de todo ve un interés personal o comercial. Son esas mismas personas que critican las que luego publican los enlaces con la base de datos completa para que te busques, porque es más confiable que hacerlo en un sitio "anónimo".

¿Vas a eliminar la información?

Sí, luego de los 10 días la página y los archivos serán eliminados.

Ahora, en serio ¿qué ganas?

Si llegaste hasta aquí, he ganado.

¿Deseas sumar una pregunta? Déjala en los comentarios.

Lic. Cristian Borghello, CISSP - CCSK - CSFPC
Director Segu-Info - Segu-Kids - Antiphishing - ODILA

Suscríbete a nuestro Boletín

10 comentarios:

  1. Gracias, Cristian. Este tipo de concientización siempre suma. Invita a reflexionar, a tener un uso responsable de la tecnología y todas sus prestaciones. Muy bueno. Un abz.

    ResponderBorrar
  2. Gracias!!����

    ResponderBorrar
  3. Muy bueno Cristian. Saludos!

    ResponderBorrar
  4. excelente trabajo!! mucho material para las charlas y que los usuarios tomen conciencia de los riesgos. Gracias!

    ResponderBorrar
  5. jajaja, de verdad te preguntaron si tenias permiso para tener y manipular estos datos? parece que no entendieron NADA. gracias por la publicación. Saludos

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!