Pasó con Facebook, WhatsApp y Twitter: ¿por qué las gigantes tecnológicas sufren filtraciones de datos personales?

WhatsApp, aplicación que pertenece a Meta, sufrió una filtración de datos que fue revelada en noviembre de este año. De acuerdo con el medio Cybernews, eran 487 millones de personas afectadas, pues un hacker estaba vendiendo los números de celulares de los usuarios en un foro de hackers, BreachForums. Si bien la compañía de ciberseguridad Check Point redujo la cifra de afectados a 360 millones tras un análisis, el número aún sigue siendo considerable.

MIRA: IBM: “Es muy común trabajar con dos o más ciberincidentes al mismo tiempo. Procesamos 150 billones de eventos de seguridad al día”

Twitter también sufrió una filtración de datos a inicios de este año. 5,4 millones de usuarios vieron expuestos sus datos personales, como nombres de inicio de sesión, ubicación, el estado de verificación, números de teléfono y direcciones de correo electrónico, en foros de hackers.

Meta, compañía dirigida por Mark Zuckerberg, por ejemplo, recibió una multa de 265 millones de euros por parte de la Unión Europea. Esto debido a que la empresa no protegió los datos personales de más de 530 millones de usuarios en Facebook, en 2019. Los hackers aprovecharon una debilidad en la red social usando el “scraping”, el cual es el saqueo de perfiles mediante un software que imita la funcionalidad de la red de identidad para ayudar a los usuarios a encontrar fácilmente a sus amigos, accediendo a su lista de contactos.

MIRA: ¡Cuidado! Esta app en Android es capaz de crear cuentas falsas con tu nombre

¿Por qué una gigante tecnológica, como Meta o Twitter, sufre filtraciones de datos personales?

De acuerdo con Julio Seminario, experto en ciberseguridad de Bitdefender, que estas empresas estén relacionadas fuertemente con la tecnología no significa que los cibercriminales no puedan atacarlas. “[Las gigantes tecnológicas] no necesariamente deberán tener la mejor tecnología contra ataques y, a veces, la mejor tecnología no es suficiente, pues debe estar alineada con personal preparado y concientizado en temas de ciberseguridad. Las organizaciones grandes y pequeñas comparten una vulnerabilidad muy común y muy peligrosa que no siempre se puede explicar: el error humano”, señala en entrevista con El Comercio.

El error humano es entonces una de las principales vías que utilizan los cibercriminales para obtener réditos. “Para tener lo más cercano a una seguridad completa, el capital humano deberá estar bien capacitado y alerta a notificaciones, avisos o comportamientos extraños que la tecnología pueda no detectar. Además, deben manejar protocolos de emergencia posterior a ataques, para evitar que el problema se magnifique”, agrega.

A ello se le suma los casos en que trabajadores de la misma empresa aprovechan sus cargos para generar dinero de forma ilegal. Según The Wall Street Journal, algunos empleados de Meta “secuestraban” cuentas de Facebook e Instagram para cobrar sobornos a los usuarios que querían recuperarlas.

MIRA: WhatsApp: ¿cómo saber si otra persona ha iniciado sesión con mi cuenta en otro dispositivo?

Para ello, aprovechaban el sistema de operaciones en línea con el que las personas pueden tratar de recuperar sus accesos. Con el objetivo de recuperar sus cuentas, los afectados habrían tenido contacto con empleados de Meta que estaban dispuestos a ayudarlos, pero a cambio de dinero. Además, de acuerdo con el medio, los mismos trabajadores recibían “miles de dólares en sobornos de poderosos hackers” para obtener los perfiles.

“Considerando el hecho de que los mismos trabajadores estaban implicados en los atentados, la evaluación y supervisión del capital humano es fundamental, sobre todo en compañías que manejan data sensible”, asegura Seminario.

MIRA: Apple amplía su cifrado de extremo a extremo en iCloud y lleva su nube a otro nivel

¿De qué manera una gigante tecnológica puede sufrir filtraciones de datos personales?

Como se indicó, el error humano es el principal objetivo de los cibercriminales en estos casos. Por ello, utilizan métodos para engañar a los trabajadores y encontrar alguna brecha de seguridad en los sistemas de las empresas. “Los esquemas de ingeniería social, como el phishing selectivo y la suplantación de identidad del director ejecutivo, están diseñados para engañar a los empleados para que divulguen datos de la empresa, realicen transferencias de dinero a la cuenta de los piratas informáticos, o entreguen credenciales de inicio de sesión para permitir que el atacante se afiance en la infraestructura”, añade el experto.

Otra de las vulnerabilidades son los puntos finales sin parchar. “A veces, incluso si los actores de amenazas logran pasar la primera línea de defensa, todavía tienen que evadir la detección por parte del equipo de TI y explotar las debilidades para establecerse en la infraestructura de destino. Aquí es donde el software sin parches juega un papel crucial en la cadena de eliminación de ataques. No implementar las últimas correcciones de errores abre la puerta a ataques diseñados para explotar esas fallas de software”, indica.

En el caso de algún “trabajo interno” por parte de algún empleado, las empresas pueden optar por prevenir estas situaciones. “Los equipos de TI deben tener mapeados los procesos y el flujo de la información para determinar los riesgos y posibles escenarios de fuga de información. Una vez mapeados los procesos, se pueden utilizar herramientas tecnológicas que permitirán, por ejemplo, cifrar la información, de tal manera que personas sin autorización no podrán visualizar el contenido de los archivos”, asegura Seminario.

Asimismo, evitar que la información salga de los sistemas previene estos incidentes. “También pueden usar Software de Prevención de Pérdidas de Datos (DLP), que bloqueará la salida de la información que se considera confidencial. Este bloqueo puede llegar a cubrir casi todas las vías de fuga, como correos, USB, cargas en la nube, etcétera”, agrega.

Finalmente, concientizar a los empleados siempre es una necesidad. “Es clave que se genere una cultura de seguridad de la información, que sea compartida por toda la organización y se hagan continuamente charlas de toma de conciencia a todo el personal”, afirma el experto.

MIRA: ¿Cómo evitar ser victima de una filtración de videos y fotos íntimas?

¿Cómo un usuario puede saber si sus datos personales son parte de una filtración en una gigante tecnológica?

Existen dos formas simples de conocer si nuestra información fue filtrada. La primera está relacionada con la cantidad de spam, llamadas de desconocidos, SMS extraños o correos phishing que recibimos. Según Seminario, este es un gran indicativo, pues significa que alguna de estas formas de contacto ha llegado a cibercriminales. Sin embargo, también debemos tener en cuenta qué datos tenemos a simple vista, pues si, por ejemplo, nuestro correo está como público en nuestro perfil de Facebook, cualquiera podría empezar a escribirnos por ese medio.

La otra forma que da el experto es utilizando la página web HaveIBeenPwned. Esta iniciativa fue creada en 2013 por Troy Hunt y nos indicará si nuestro correo electrónico o número de teléfono móvil ha sido parte de alguna filtración de información personal. Incluso nos señalará en qué fecha y debido a qué compañía o suceso se debió la exposición de nuestros datos.

MIRA: Claves tecnológicas para evitar estafas al comprar entradas para conciertos

Por otra parte, Seminario también asevera que es nuestra obligación informarnos bien antes de utilizar alguna aplicación o servicio en línea. “En muchas ocasiones, al ingresar a apps, juegos y otras aplicaciones, el usuario accede a que el desarrollador comparta los datos con terceros. Esto se debe a que una gran mayoria de personas no lee los términos y condiciones a los que accede al crear una cuenta”, concluye.

Es decir, algunas de las comunicaciones o publicidad que recibimos se debe a que nosotros hemos dado el permiso a las empresas para que compartan nuestra información. No significa que esta se haya filtrado necesariamente, sino que nosotros ignoramos que hemos otorgado la autorización, pues no leímos lo que era necesario en aquel momento.