Los investigadores de seguridad advirtieron a Facebook que los ciberatacantes podrían abusar del servicio de búsqueda de números telefónicos y de correo electrónico para recolectar datos de las personas.

La firma dijo que los "actores maliciosos" habían estado juntando perfiles durante años al abusar de la herramienta de búsqueda.

Aseguró que cualquiera que no haya cambiado su configuración de privacidad después de agregar su número de teléfono debe asumir que su información ha sido recolectada.

Un experto en seguridad le dijo a la BBC que el ataque había sido posible "durante años".

¿Cómo funcionó el ataque?

Hasta el miércoles, Facebook permitía a las personas buscar los perfiles de sus amigos escribiendo un número de teléfono o una dirección de correo electrónico.

Pero dijo que los estafadores habían abusado de esa funcionalidad y lo usaron para vincular los números de teléfono y los correos electrónicos con los nombres de las personas y la información del perfil.

Un ciberatacante podría escribir cualquier número de teléfono, incluso uno que haya inventado, y vincularlo al perfil de una persona. A menudo, esto revelaría su nombre, ubicación y otra información de perfil.

Al vincular un número de teléfono a los datos personales, un estafador podría llamar por teléfono a la víctima y dirigirse a ellos por su nombre. Podrían pretender ser de un banco u otra organización.

"Esto se conoce como enumeración, pasando por todas las iteraciones de un número", dijo el investigador de seguridad Ken Munro de Pen Test Partners.

"Si querías estafar a alguien, tenías una ruta para encontrar sus detalles y saber su nombre, una configuración fantástica para una estafa".

Facebook dijo que había implementado medidas para limitar la frecuencia con la que las personas podían buscar a otros. Pero las medidas "no pudieron evitar a los actores maliciosos recorrer cientos de miles de direcciones IP diferentes", explicó Mark Zuckerberg.

Una dirección IP se puede usar para identificar una computadora individual que usa Internet, pero los atacantes la cambiaron con frecuencia para evitar la detección.

¿Se informó el problema?

Facebook previamente había alentado a las personas a agregar su número de teléfono a su cuenta. Dijo que al hacerlo sería más fácil conectarse con amigos o mejorar la seguridad de la cuenta.

De forma predeterminada, cualquiera podría encontrar el perfil de Facebook escribiendo el número de teléfono en el cuadro de búsqueda.

Facebook dijo que la instalación había sido "útil" para encontrar amigos, especialmente en países donde muchas personas tienen el mismo nombre. Dijo que las búsquedas de números de teléfono constituían el "7% de todas las búsquedas" en Bangladesh.

Sin embargo, aunque los miembros podían elegir no mostrar su número de teléfono en su perfil, no era posible inhabilitar por completo la función de búsqueda.

Los investigadores de seguridad han escrito anteriormente sobre cómo los estafadores podrían abusar de la función.

En agosto de 2015, Facebook le dijo a un investigador de seguridad que no consideraba el problema como una vulnerabilidad de seguridad.

El sitio de noticias Wired también ha hablado con otro desarrollador que planteó el problema con Facebook.

¿Por qué Facebook ha actuado ahora?

Facebook se ha enfrentado al escrutinio después de que se revelara que los datos de millones de personas se compartieron incorrectamente con la consultora política Cambridge Analytica.

El jueves, Matt Hancock, el secretario de estado para medios digitales, cultura, medios y deportes dijo que Facebook había puesto "en peligro los datos de más de un millón de nuestros ciudadanos".

Facebook dijo que una auditoría había revelado que los estafadores habían logrado actuar con "escala y sofisticación" para superar sus medidas técnicas.

Dijo que “la mayoría de la gente en Facebook podría haber tenido su perfil público 'raspado' de esta manera”.

En declaraciones a los periodistas, Zuckerberg dijo: "Es razonable esperar que si tuviste esa configuración [predeterminada] activada, en los últimos años alguien probablemente haya accedido a tu información pública de esta manera."

"Dado eso y lo que sabemos hoy, tiene sentido eliminar esta función”.

La compañía ahora ha desactivado la capacidad de búsqueda por número de teléfono.

Artículos relacionados:

• Encuentran aplicaciones que roban credenciales de Facebook en Google Play Store
• Defensores de la privacidad critican a Facebook por raspado de información
• Investigador que otorgó datos de Facebook a Cambridge Analytica creía que todo era normal