¿Te han zuckeado? En HaveIBeenZuckered.com puedes poner tu teléfono y te dirá al instante si tus datos personales están en la gigantesca lista de más de 530 millones de cuentas de Facebook que salieron a la luz hace unos días. Como sabemos, un cracker los puso a la venta en un foro de «hackers de bajo nivel». Esta herramienta de búsqueda, creada por Jorrit Klein Bramel, parece fiable, y sigue la filosofía de HaveIBeenPwned.com donde se puede hacer otro tanto, y donde además se acumula información sobre cientos de brechas de seguridad de este tipo de los últimos años.
Lo curioso del asunto es que el crackeo es de un nivel notablemente bajo: alguien simplemente probó uno por uno todos los números de teléfonos del mundo (a al menos los que empiezan por los prefijos de ciertos países) y –si tenían una cuenta en Facebook– pidió a Facebook los datos de sus «amigos». Hasta el propio Mark Zuckerberg aparece en la lista. De España hay unos 11 millones de cuentas y teléfonos. La negligencia y un gigantesco agujero en los sistemas de alerta de Facebook hicieron que no «saltaran las alarmas» ante tantas peticiones, de modo que el atacante recopiló una cantidad ingente de información entre ellos, identificadores y nombres de cuentas, correos electrónicos, teléfonos y nombres de las empresas.
Curiosamente no está claro qué sucederá con el incidente: toda la información que recopila este crackeo es pública, y cualquiera podría haberla encontrado y anotado con paciencia; simplemente se ha usado un sistema automático para generar la gigantesca lista con todos los datos bien ordenaditos. Algo que probablemente va contra las normas de uso de Facebook, pero donde no aparecen datos personales más allá de los que son públicos.
El problema para los usuarios es que con esa información es más fácil generar correos o mensajes SMS personalizados con los que llevar a cabo un phising que engañe a quienes lo reciban. Todo el mundo es más o menos capaz de detectar un mensaje falso genérico que pretenda engañar, pero si ese mensaje llega en nuestro idioma, a nuestro nombre, mencionando a la empresa en que trabajamos o mencionando nuestro número de teléfono aumenta la probabilidad de que confiemos en él como fuente fiable y piquemos el anzuelo. Así que mucho cuidado con los mensajes sospechosamente extraños que se reciben sin motivo por SMS o e-mail, incluso cuando lleven esos datos. Y más todavía si tus datos personales están en esta vulneración masiva de datos.