Una brecha de Facebook permite crear un listín telefónico global de 533 millones de personas

Archivos con datos personales de 533 millones de usuarios de Facebook aparecieron este sábado en un pequeño foro de hackeo. Los datos incluyen el número de teléfono, nombre completo, número de identificación en Facebook, localización actual y anterior, fecha de nacimiento, correo electrónico, fecha de creación, estado sentimental y biografía. La particularidad de la brecha es que incluye cientos de millones de números de teléfono vinculados a sus propietarios, entre ellos 10,8 millones de españoles y de otros países latinoamericanos.

En enero, estos datos se vendían a través de Telegram: un bot ofrecía en la aplicación de mensajería Telegram el número de móvil de estos usuarios a cambio de un pago. Este sábado, el director técnico de la empresa de ciberinteligencia HudsonRock, Alon Gal, encontró la base de datos completa y gratis.

Facebook dice que los datos pertenecen a una brecha parcheada en 2019, con lo que la información filtrada tiene al menos un par de años. Es probable, sin embargo, que muchos de esos números de teléfono sigan activos. La compañía no ha aclarado aún si comunicó a los afectados que sus datos estaban expuestos o si tiene previsto hacerlo. EL PAÍS ha pedido a Facebook más aclaraciones, por ahora sin respuesta. En 2019, Facebook advirtió de la filtración de una base de datos con más de 400 millones de números de teléfono junto al número de identificación en Facebook. Los archivos que han aparecido ahora incluyen muchos más detalles.

El peligro de estos datos va más allá del hackeo de cuentas de Facebook, ya que en principio no hay contraseñas afectadas. La combinación de datos personales hace mucho más eficaz ataques de ingeniería social, como el phishing. No es lo mismo recibir un SMS de un falso paquete de Correos que dirigido al nombre del receptor, con su fecha de nacimiento u otros detalles personales.

La base de datos contiene información de usuarios de 108 países del mundo. El australiano Troy Hunt, creador de Have I Been Pwned, que reúne filtraciones de correos electrónicos para saber si una cuenta ha sido afectada, ya ha introducido este conjunto de datos en su página. La relativa buena noticia es que solo el 0,5% de los usuarios de esta brecha de Facebook han visto su correo afectado, según Hunt. Ahora está valorando si incluir en su web los números de teléfono para prevenir más si cabe a los usuarios de que su número de teléfono puede estar en manos de cibercriminales.

En su hilo, Hunt dice haber oído casos de más SMS dirigidos personalmente a víctimas, aunque no tiene ninguna prueba de que esté asociado a esta brecha. En un análisis centrado en los ficheros españoles, estas son las cifras que ha encontrado la cuenta de @ciberpolies.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter.