Es noticia
"Avisé a Facebook de que cualquiera podía hacerse con tu móvil y no hicieron ni caso"
  1. Tecnología
"Es muy sucio todo"

"Avisé a Facebook de que cualquiera podía hacerse con tu móvil y no hicieron ni caso"

Facebook ha reconocido haber dejado al descubierto tu móvil y el de millones de personas más. Un joven informático español les avisó del fallo hace un año. "Miraron para otro lado"

Foto: Mark Zuckerberg, fundador y CEO de Facebook. (Reuters)
Mark Zuckerberg, fundador y CEO de Facebook. (Reuters)

Verano de 2017. Facebook recibe un mensaje de un joven informático español alertando de un serio problema de privacidad. Su aviso: con un poco de paciencia y mínimos conocimientos técnicos, es posible hacerse con el número de móvil de cualquier usuario, aparezca o no en tu lista de amigos. Y cuando decimos cualquiera, es cualquiera: absolutamente todos los que hayan publicado su número en la plataforma. ¿La respuesta de la red social? "Miraron para otro lado. No hicieron ni caso", explica a Teknautas David C., el estudiante de informática que reportó el fallo. Esta semana, casi un año después, Facebook ha reconocido que, en efecto, había dejado al descubierto tu número de móvil y el de millones de personas más. Y no solo lo sabía, sino que optó por no hacer nada al respecto.

"Si tenías esa función activada, es razonable pensar que alguien ha accedido a tu información". Así, sin tapujos, reconoció ​Mark Zuckerberg este miércoles otro embarazoso fallo a la hora de proteger la privacidad de sus usuarios. Al más puro estilo Facebook, la sonrojante revelación quedó enterrada primero en un comunicado del jefe mundial de tecnología de la compañía, Mike Schroepfer, y luego despachada de puntillas por Zuckerberg en una llamada con periodistas. Sin embargo, se trata de un gravísimo fallo, no solo por haber dejado al aire los datos más privados de millones de personas (número de móvil, fotos, estado civil, dirección, fecha de nacimiento...), sino también porque Facebook no hizo nada por evitarlo hasta que se ha visto forzado a rectificar.

Foto: Mark Zuckerberg, creador de Facebook. (Reuters) Opinión

Con lo de "si tenías esta función activada" Zuckerberg se refería a la posibilidad de encontrar a alguien en Facebook buscando por su número de móvil o correo electrónico. "Esta [función] ha sido especialmente útil para encontrar amigos en países donde los nombres son complejos de teclear o donde mucha gente tiene el mismo nombre", explicaba Schroepfer. Pero luego vino el bombazo. "Gente maliciosa ha abusado de esta función para recolectar información pública del perfil enviando números de teléfono o emails que ya tenían. Dada la escala y sofisticación de la actividad que hemos visto, creemos que con esta técnica se han apoderado de la información pública de perfil de la mayoría de usuarios de Facebook. Por eso hemos desactivado la función".

La "técnica" a la que se refiere Schroepfer es precisamente la que David C. reportó hace un año a la red social y a la que esta hizo oídos sordos. Buscando fallos en la plataforma, David se dio cuenta que al darte de alta en Facebook la opción para que "cualquiera" pudiera buscarte por tu número de móvil, en lugar de solo tus amigos, aparecía marcada por defecto. Y no solo eso. Usando las funciones de recuperación de cuenta e importar contactos, era posible buscar de forma simultánea hasta 20.000 contactos por día. Con técnicas de fuerza bruta y en apenas 15 minutos podías adivinar el móvil de cualquier usuario. No es el único gran servicio online que sufre este fallo, también Gmail, Twitter, PayPal o WhatsApp son vulnerables a técnicas similares, pero la facilidad para obtener los datos en Facebook es pasmosa.

Facebook vive de tus datos y les interesa que las configuraciones de privacidad sean enrevesadas. Les sale más rentable hacer la vista gorda

"Estoy seguro que no he sido el único en avisarles. Otros se habrán dado cuenta y habrán hecho lo mismo. Yo se lo comuniqué a través de su programa de caza de fallos [bug bounty program]. Te pagan si descubres un problema importante. Les envié el formulario, y al cabo de tres días me respondieron diciendo que no era un fallo. Un año después, resulta que sí lo es. Claro, si lo sabe muy poca gente no es un problema, pero ahora que se les va la acción a pique sí", explica David C., que prefiere no desvelar su nombre completo para proteger su privacidad.

Foto: El consejero delegado (cesado) de Cambridge Analytica, Alexander Nix.

Él mismo describió en detalle la técnica usada en este artículo, publicado en Teknautas el pasado febrero. Lo que no se esperaba es que, después de haber sido ignorado por la red social, año y medio después estallaría el escándalo de Cambridge Analytica, la compañía perdería más de 70.000 millones de dólares en capitalización de mercado y se vería obligada a reconocer y subsanar buena parte de sus malas prácticas.

placeholder Imagen de la campaña #deletefacebook
Imagen de la campaña #deletefacebook

"Facebook vive de tus datos y les interesa que las configuraciones de privacidad sean lo más enrevesadas posibles. ¿Es ético? No. ¿Tiene sentido como negocio? Sí. Les sale más rentable hacer la vista gorda", señala David. Consultada por este diario, Facebook se remite simplemente a las explicaciones oficiales de Schroepfer y Zuckerberg.

David se siente defraudado por la forma de actuar de la red social. "Es extraño, su programa de recompensa de 'bugs' es de los mejores. Quizás esta vez simplemente no les interesaba reconocer el problema y luego les estalló todo en la cara", explica. No es la primera vez que el gigante de Silicon Valley desecha uno de sus avisos de seguridad. El pasado enero remitió una prueba de concepto de cómo Instagram podía ser usado para amplificar ataques de denegación de servicio (DDoS) sobre otras webs. Lo hizo a través del mismo programa de recompensas de Facebook. Tampoco hubo suerte.

"Dijeron que el fallo estaba previsto y tenían forma de mitigarlo, pero no aportaron ninguna prueba. Yo les envié una prueba de que ocurría, y sigue ocurriendo, pero se negaron a aceptarlo", explica resignado. Ve también con cierta distancia el escándalo de Cambridge Analytica. "¿Qué robaron 87 millones de perfiles en lugar de 50 millones? ¡Qué mas da! No sé cómo a alguien le sorprende. Viven de tus datos. Y como no pueden venderlos directamente se buscaron otra forma de comercializarlos. Es muy sucio todo".

Verano de 2017. Facebook recibe un mensaje de un joven informático español alertando de un serio problema de privacidad. Su aviso: con un poco de paciencia y mínimos conocimientos técnicos, es posible hacerse con el número de móvil de cualquier usuario, aparezca o no en tu lista de amigos. Y cuando decimos cualquiera, es cualquiera: absolutamente todos los que hayan publicado su número en la plataforma. ¿La respuesta de la red social? "Miraron para otro lado. No hicieron ni caso", explica a Teknautas David C., el estudiante de informática que reportó el fallo. Esta semana, casi un año después, Facebook ha reconocido que, en efecto, había dejado al descubierto tu número de móvil y el de millones de personas más. Y no solo lo sabía, sino que optó por no hacer nada al respecto.

Mark Zuckerberg
El redactor recomienda