Como ya sabréis muchos (lo comentamos en las redes sociales de la consultora cuando se hizo público), hace un par de semanas supimos que Facebook había sido víctima de una filtración de datos masiva que compromete alrededor de 500 millones de cuentas de usuario (EN).
De hecho se habla de que en España, para todos aquellos que tenemos cuenta desde antes del 2018, tenemos un 50% de posibilidad de aparecer en ese filtrado.
Un 50%, que se dice pronto.
Algo que puedes saber fácilmente entrando en HaveIBeenPwned.com (EN) y poniendo tu email o tu número de teléfono.
- ¿Que la página se pone en rojo? Pues estás en al menos un filtrado masivo conocido (te dirá en cuáles están y qué datos se expusieron).
- ¿Que te sale en verde? Pues por ahora te has librado. Pero es cuestión de tiempo que aparezcas en uno. Y no es por ser agorero, es que es así (no depende directamente de ti ni de lo muy segura que tengas tus cuentas online).
Entre los datos filtrados, están nuestros números de teléfono, nuestra dirección, nuestro nombre y apellidos, nuestra contraseña… Es decir, el combo perfecto.
Cuando algo así ocurre, la recomendación es siempre la misma:
- Cada cuenta tiene que tener una contraseña diferente: De hecho lo primero que hacen los cibercriminales cuando algo así ocurre, es probar ese par de usuario/contraseña masivamente en otros servicios, y acaban vez tras vez cayendo otros tantos millones de usuarios en Twitter, en LinkedIn, en Google, en Instagram…
- Activar un segundo factor de autenticación en todas las cuentas donde podamos: Es, como dije en su día, el sistema de seguridad más cómodo de aplicar y el que más seguridad arroja. Sencilla y llanamente gracias a él pese a que aparezcamos en uno de estos filtrados, a efectos prácticos un cibercriminal no podrá acceder a nuestra cuenta (sabrá el usuario y la contraseña, pero le faltará ese token que la plataforma nos envía por SMS o por otra aplicación a nuestro móvil para en efecto poder loguearse).
La cuestión es que en CyberBrainers nos ha dado por trastear un poco con la base de datos filtrada estos días para demostrar cómo realmente, pese a que en efecto al tener un 2FA activo estamos libres de que nos entren en nuestra cuenta, un filtrado de estos podría representar un verdadero riesgo para nuestra integridad física y personal.
En la prueba que hemos, con la base de datos del filtrado, segmentado por la gente que vive en mi ciudad de origen (un pueblo de unos pocos miles de habitantes), y gracias a ello tenemos de pronto acceso a prácticamente la mitad de los números de teléfono de la gente del pueblo.
Si un servidor no tuviera escrúpulos algunos y además quisiera hacer daño a alguno de ellos, tendría ahora su dirección y su número de teléfono.
Y con ellos podría acosarlos continuamente o diseñar alguna campaña de ingeniería social para estafarlos.
Así que un ejemplo más de cómo una filtración masiva, pese a que nosotros no tengamos culpa alguna, y pese a que ya hayamos hecho los deberes a nivel de seguridad previamente, puede suponer un verdadero quebradero de cabeza para cualquiera de nosotros.
Basta con que un acosador descargue ese filtrado que, recalco, es ahora público, para tener en su mano una capacidad de hacer muchísimo muchísimo daño a sus víctimas.
Y además hacerlo sin apenas conocimientos técnicos (ni mucho menos debe ser un hacker o experto en seguridad).
Mucho cuidado con este tipo de filtrados…
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.