Los usuarios de Facebook pirateados aún no saben qué 15 búsquedas recientes y 10 registros más recientes fueron expuestos en la violación masiva de la compañía que detalló la semana pasada. La empresa se limitó a señalar que se encontraban entre los conjuntos de datos robados por los atacantes. Eso crea incertidumbre sobre cuán sensibles o vergonzosos son los datos extraídos, y si posiblemente podrían usarse para chantajearlos y acecharlos.
Gran parte de los datos extraídos de los 14 millones de usuarios más afectados de un total de 30 millones de personas afectadas por la violación eran biográficos y, por lo tanto, relativamente estáticos, como su fecha de nacimiento, religión o ciudad natal. Si bien sigue siendo problemático porque podría usarse para segmentar anuncios sin consentimiento, estafas, intentos de piratería informática o ataques de ingeniería social, al menos los usuarios probablemente sepan lo que se robaron ilícitamente.
Afortunadamente, no se accedió a algunos de los campos de datos más sensibles, como la orientación sexual, me confirma Facebook. Pero la exposición de búsquedas y registros recientes podría amenazar a los usuarios de diferentes maneras.
Dado que el ataque fue tan amplio y afectó a una amplia variedad de usuarios, a diferencia de un ataque dirigido a la Convención Nacional Demócrata, no hay evidencia de que el objetivo del ataque fuera chantajear o acechar a usuarios individuales. Para el usuario promedio afectado por la infracción, la probabilidad de este tipo de ataque de seguimiento puede ser baja.
Pero dado que figuras públicas, incluido el director ejecutivo de Facebook Mark Zuckerberg y la directora de operaciones Sheryl Sandberg, fueron víctimas del ataque, así como muchos reporteros (incluido yo mismo), existe el riesgo de que los perpetradores hurguen en los datos en busca de personas de alto perfil para explotar.
Los datos robados sobre “las 15 búsquedas más recientes que ha ingresado en la barra de búsqueda de Facebook” podrían contener temas vergonzosos o controvertidos, investigación comercial competitiva o infidelidad potencial. Muchos usuarios podrían sentirse mortificados si sus búsquedas de contenido subido de tono, puntos de vista políticos de nicho o sus ex amantes se publicaran en asociación con su nombre real. Los piratas informáticos podrían potencialmente apuntar a las víctimas con estafas de chantaje que amenacen con revelar esta información al mundo, especialmente porque el ataque incluía información de contacto del usuario, incluidos números de teléfono y direcciones de correo electrónico.
Los registros raspados podrían impulsar el acecho o los ataques en el mundo real. Los piratas informáticos no pudieron acceder a las coordenadas GPS exactas de los usuarios, pero capturaron las 10 ubicaciones más recientes en las que se registró o etiquetaron a 14 millones de personas. Estas ubicaciones están determinadas por los lugares nombrados en las publicaciones, como un punto de referencia o restaurante, no datos de ubicación de un dispositivo ”, escribe Facebook. Si los usuarios se registran en cafeterías cercanas, en su lugar de trabajo o incluso en su casa, si le han dado un nombre descarado como lo hacen algunos millennials urbanos, su historial de visitas a esos lugares ahora está en manos peligrosas.
Si los usuarios supieran al menos qué búsquedas o registros de su propiedad fueron robados, podrían elegir si modificar su comportamiento o cómo deben protegerse mejor. Es por eso que, entre las advertencias de Facebook a los usuarios sobre si fueron pirateados y a qué tipos de datos se accedió, también debería considerar darles a esos usuarios la opción de ver las búsquedas específicas o los registros que fueron arrebatados.
Cuando TechCrunch le preguntó, un portavoz de Facebook se negó a comentar sobre sus planes aquí. Es comprensible que a la empresa le preocupe que la divulgación de búsquedas y registros concretos pueda aumentar innecesariamente el miedo y la duda. Pero si solo está tratando de limitar la reacción, lo perdió justo cuando priorizó el crecimiento y la velocidad sobre la seguridad.
Mientras Facebook intenta recuperarse de la violación y recuperar la confianza de su audiencia de 2.200 millones, debería pecar de transparencia. Si los piratas informáticos conocen esta información, ¿no deberían hacerlo también los usuarios pirateados?