El primer gran a Facebook afecta a 50 millones de cuentas
▶ La compañía teme que se haya violado la privacidad de otros 40 millones de perfiles de usuarios
Facebook ha sido hackeada. La mayor red social del mundo, con 2.200 millones de usuarios, lo reconoció ayer a última hora de la tarde. Aunque de momento se desconoce con exactitud cuántas cuentas se han visto afectadas, la compañía apuntó que son casi 50 millones, mientras que otras 40 millones están en duda.
La red social, según explicó en un comunicado, tuvo conocimiento del suceso el martes pasado. Desde entonces, investiga lo sucedido.
«En la tarde del martes 25 de septiembre, nuestro equipo de ingeniería descubrió un problema de seguridad que afectaba a casi 50 millones de cuenta», explicó Guy Rosen, uno de los responsables de producto de Facebook en un comunicado.
La compañía está tratando el asunto de forma «extremadamente seria», aunque la investigación está aún en su fase inicial. «El fallo de seguridad fue reparado el jueves por la tarde», dijo Mark Zuckerberg, CEO de Facebook, en una rueda de prensa telefónica. «Nos estamos tomando el asunto de forma extremadamente seria —insistió— y queríamos avisar a todo el mundo de lo ocurrido y de las acciones inmediatas que hemos tomado para proteger la seguridad de las personas».
Esta violación de seguridad, tal y como explica la compañía, permitió a los piratas informáticos tomar el control de las cuentas de los usuarios, de tal manera que los hackers podrían haber obtenido información privada, ya que consiguieron acceder a ellas ellas como si fuesen usuarios.
«Ver como», desactivado
Los ciberdelincuentes explotaron una vulnerabilidad en el código de la plataforma que afectó al modo «Ver como», que permite a los usuarios ver su perfil como si fuesen usuarios ajenos. «Esto les permitió robar ‘tokens’ de acceso de Facebook que luego podrían utilizar para hacerse cargo de las cuentas», explicó Guy Rosen. «Los ‘tokens’ de acceso son el equivalente a las claves digitales que mantienen a las personas conectadas a Facebook para que no necesiten volver a meter su contraseña cada vez que usan la aplicación», explicó. Así, la funcionalidad «Ver como» fue desactivada de la red social como medida preventiva.
Facebook procedió a la desconexión inmediata de todas aquellas cuentas afectadas que tenían activada la opción de conectarse sin necesidad de introducir el nombre de usuario y la clave. Es decir, que aquellos usuarios que solían acceder a la red social directamente desde su aplicación para móviles o desde el ordenador y que conservaban sus claves de acceso guardadas directamente en la red, deberán introducirlas de forma manual si quieren volver a conectarse.
Aunque la vulnerabilidad se solució inmediatamente, Facebook tiene aún en cuarentena otros 40 millones de cuentas que también podrían haber sido hackeadas, tal y como reconoció el responsable de producto: «También hemos decidido tomar otro paso preventivo y restablecer los ‘tokens’ de acceso para otras 40 millones de cuentas que han sido objeto de una búsqueda ‘Ver como’ en el último año».
Así, «alrededor de 90 millones de personas tendrán que volver a iniciar sesión», dijo Guy Rosen. «Después de que lo hayan hecho, las personas afectadas recibirán una notificación en la parte superior de su ‘News Feed’ explicando lo sucedido».
De momento, se desconoce quién o quiénes están detrás del ataque. Tampoco se sabe desde dónde se llevó a cabo. «Estamos trabajando duramente en ello», aseguró Guy Rosen, que además adelantó que en el caso de que se encuentren más cuentas hackeadas, inmediatamente se restablecerán sus ‘tokens’ de acceso.
La compañía informó al FBI de lo sucedido pero no ha especificado si también lo ha hecho con los reguladores y autoridades. De hecho, según el RGPD en Europa, el plazo máximo para comunicar brechas de seguridad es de 72 horas.