El viernes28 de septiembre, Facebook anunció que había identificado una falla de seguridad en aproximadamente 50 millones de cuentas que permitía a los atacantes explotar datos confidenciales de los usuarios. Es probable que la violación de datos haya afectado no solo a los usuarios de Facebook, sino también a una vasta red de aplicaciones y servicios de terceros. Las prácticas de Facebook para mejorar la experiencia del usuario mediante la simplificación de los procesos de inicio de sesión y la integración de socios externos en su plataforma aumentan la complejidad del proceso de gestión de riesgos. A medida que los consumidores sacrifican la seguridad de los datos en aras de la interconexión, vulnerabilidades como las descubiertas en la filtración de datosdel 28 de septiembre tienen el potencial de perturbar los sistemas a escala mundial.
Se informó que los piratas informáticos se centraron en la función «Ver como» de Facebook, un código que permite a los usuarios ver su perfil tal y como lo ven los demás usuarios. Los delincuentes engañaron al sistema para que generara lo que se conoce como un «token de acceso», un objeto que incluye la identidad y los privilegios de una cuenta de usuario asociada a un proceso o hilo específico. Los sistemas utilizan tokens de acceso para establecer permisos sin pasar por los requisitos normales de inicio de sesión. Tras recopilar estos tokens, los hackers pudieron no solo extraer información confidencial, sino también controlar la configuración de los perfiles de Facebook. Las autoridades indicaron que Facebook había solucionado el fallo y restablecido más de 90 millones de claves digitales.
El ataque se produce durante la campaña del gigante de las redes sociales para restaurar su reputación tras el escándalo de los datos de Cambridge Analytica. En ese caso, se informó de que los datos de aproximadamente 87 millones de usuarios se habían compartido indebidamente con la consultora política. El revés de Cambridge Analytica ejemplificó el uso indebido de datos, ya que la empresa recopiló datos personales mediante la creación de una aplicación dentro del sistema de Facebook. Sin embargo, el fallo del «token de acceso» se asemeja a una brecha de seguridad, ya que los atacantes aprovecharon una vulnerabilidad sin resolver dentro de una función. La capacidad no solo de extraer información, sino también de manipular perfiles, indica un ataque mucho más dañino.
El director ejecutivo de Facebook, Mark Zuckerberg, declaró que la empresa está colaborando con el FBI para investigar la filtración. Sin embargo, aún se desconoce el origen del ataque. La Comisión de Protección de Datos de Irlanda también se está preparando para iniciar una investigación y ha solicitado más información sobre la naturaleza y el alcance del ataque. Los expertos prevén que el organismo regulador podría imponer a Facebook una multa de 1630 millones de dólares. Este suceso supone la primera vez que se aplicará la nueva normativa general de protección de datos de la Unión Europea para determinar las sanciones reglamentarias.
El incidente pone de manifiesto el aumento del riesgo que suponen para los datos las funciones de inicio de sesión único (SSO), diseñadas para agilizar los procesos de inicio de sesión. El modelo de negocio de Facebook y su uso del SSO han ampliado directamente el entorno de amenazas. Una vez que obtienen acceso, los atacantes pueden moverse libremente no solo dentro de la red de la empresa afectada, sino también a través de aplicaciones y sistemas de terceros. A medida que las grandes empresas de todos los sectores siguen aplicando medidas para mejorar la experiencia del usuario, el riesgo para la seguridad de los datos se vuelve más universal. A efectos de gestión de riesgos, los usuarios se beneficiarán de una mayor discreción a la hora de publicar información confidencial, incluso en entornos aparentemente seguros, como los grupos privados. La filtración de datos de Facebook es una prueba de que, en un sistema cada vez más interconectado a nivel mundial, es poco probable que las consecuencias de una filtración de datos permanezcan aisladas.
David Sánchez Bornstein es un
analista en prácticas de código abierto en Prevalent Inc. Es estudiante de segundo año de
un máster en la Escuela Elliott de Asuntos Internacionales, especializado en estudios de seguridad
y política tecnológica.
Acerca de Prevalent
Prevalent ayuda a las empresas a gestionar los riesgos de terceros. Es la única plataforma unificada del sector que integra una potente combinación de evaluaciones automatizadas por niveles de riesgo, supervisión continua e intercambio de pruebas para la colaboración entre las empresas y sus proveedores. La inteligencia procesable de Prevalent proporciona la visión más completa del riesgo de los proveedores, lo que permite obtener la máxima eficiencia en todos los programas de gestión de riesgos de terceros.
Para obtener más información sobre la plataforma Prevalent, visite nuestra página web.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
