La información que ahora mismo se encuentra dentro de los perfiles sociales de millones de personas tiene un valor incalculable. Es por eso que muchos delincuentes han encontrado en esta data una nueva forma de generar ingresos ilícitos con lo que las estafas a usuarios de grandes firmas como Facebook son cada vez más frecuentes.
Ahora se ha dado a conocer que miles de usuarios de la red social de Mark Zuckerberg han sido parte de una estafa que comprometió tanto sus concentraseis como otro tipo información sensible como teléfonos y cuentas de e-mail.
Entre 150 mil y 200 mil afectados
El informe viene de la mano de ESET, misma que emitió un comunicado de prensa en el que alertó de esta nueva falla de seguridad.
“ESET advierte que una base de datos Elasticsearch indebidamente configurada y operada por ciberdelincuentes dejó expuestos nombres de usuario y contraseñas”, se lee en el mencionado documento.
La empresa asegura que los criminales ingresaban a las cuentas de Facebook de los usuarios utilizando una herramienta que supuestamente revelaba a las víctimas quién había visto su perfil. No obstante, la meta final era tomar las credenciales de acceso de los usuarios.
Aunque el reporte no indica cómo fue que las personas afectadas llegaron a estos sitios falsos, lo que si apuesta e que encontraron 2i dominios que formaban una red diseñada para robar la mencionada información.
Estos sitios se caracterizaban con mensajes como: “Tu perfil recibió 32 visitas en los últimos dos días. Continúa para ver la lista”.
Una vez que la víctima daba clic en el botón “Abrir la lista”, era dirigida a una página falsa de inicio de sesión de Facebook, en donde se solicitaba nombre o correo de acceso así como contraseña.
Con esto la estafa estaba hecha. Una vez ingresada la información, las credenciales eran almacenadas en una base de datos controlada por los criminales.
Más allá de las contraseñas
Adicional, los comentarios en las cuentas de las víctimas contenían enlaces a sitios tanto de dudosa reputación como verificados, lo que fue un movimiento para no ser detectados.
Según ESET, el “mix de sitios era una estrategia para evadir los mecanismos de detección y evitar ser bloqueados”.
En los sitios se invitaba a los usuarios a registrarse para acceder a una cuenta gratuita de trading de Bitcoin y depositar 250 euros (casi 300 dólares) para comenzar. En caso de realizar el depósito, el dinero iba a parar a manos de los cibercriminales.
DE manera puntual el informe indica que, entre los datos almacenados, ESET identificó los siguientes:
- Nombres de usuario y contraseñas de entre 150.000 y 200.000 cuentas de Facebook, además de direcciones IP.
- Información de identificación personal de víctimas, como dirección de correo, nombres, o números de teléfono.
- Textos utilizados por los estafadores al momento de publicar comentarios en las cuentas comprometidas para dirigir a las víctimas a sitios maliciosos.
Facebook trabaja para evitar más fraudes
Este tipo de problemas se han convenido en un mal que ha acompañado a la más grande red social del mundo desde que nació, situación que ha puesto en jaque en más de una ocasión su reputación.
Lo que está en juego es la seguridad que ofrece a los millones de usuarios que utilizan su servicio, mismos que parecen tener pocas garantías de seguridad.
Claro que Facebook no es la única plataforma que se ve asediada por esos agentes maliciosos ni sus usuarios son las víctimas eternas del robo de información. Ya desde 2018 que se reveló un esquema global y bastante amplio de tráfico de identidades en varias plataformas líderes del mercado. Entre las empresas que presuntamente se habrían visto involucradas en estos esquemas, además de la plataforma de Zuckerberg, se hallaban tanto YouTube como Twitter.
Las redes sociales han trabajado para minimizar este problema que sin duda afecta la mayor oferta que hacen a sus anunciantes: la confianza.
Ya desde mediados del año pasado, de acuerdo con el Financial Times, Mark Zuckerberg había lanzado una herramienta para hallar y detener esquemas de fraude en la red social. Y como apunta Social Media Today, en marzo de este mismo año lanzó una acción legal contra varios agentes maliciosos detrás de estos desafíos.