Lo descubrió una empresa de ciberseguridad. La información no estaba protegida ni siquiera con una contraseña.
Una compañía que proporciona servicios para empresas en redes sociales, expuso en Internet una base de datos con información sobre los perfiles de cerca de 235 millones de usuarios de plataformas como Instagram, TikTok y YouTube.
Así lo informó la compañía de ciberseguridad Comparitech, que en un comunicado aseguró que la base de datos de Social Data no estaba protegida con ningún método de autenticación, ni siquiera con contraseña.
Entre los datos expuestos, se encuentran los nombres de usuario de las cuentas, datos de contacto en las plataformas, información personal, imágenes y estadísticas sobre los seguidores de sus perfiles.
La información de Social Data proviene de perfiles públicos en Instagram, TikTok y YouTube, en los que los datos eran accesibles de forma pública. Comparitech descubrió a comienzos de agosto tres bases de datos idénticas con los mismo 235 millones de perfiles.
Los datos podrían proceder de la desaparecida empresa de servicios Deep Social, a la que Facebook e Instagram vetaron en 2018 el acceso a sus API para desarrolladores, debido al uso de una técnica conocida como “web scraping”, en la que las empresas se hacen con grandes cantidades de datos de cuentas públicas para usos comerciales.
Según informó la compañía de ciberseguridad, Social Data admitió que sus bases de datos se encontraban expuestas, aunque asegura que se trata solo de información disponible de forma pública y que los servidores en los que se alojaban los datos fueron retirados horas después de tener conocimiento del problema.
Alerta en WhatsApp
La popular plataforma de mensajería de Facebook también es víctima de cibercriminales, que mediante un sistema sencillo pueden robar las cuentas de los usuarios.
El ataque no es novedoso; en todo caso se ha renovado. El mismo se apoya en una técnica muy habitual en este terreno: la suplantación de identidad.
La empresa Panda Security explicó que los atacantes simulan un contacto desde el servicio técnico haciendo llegar al celular de las posibles víctimas un mensaje señalando que alguien registró una cuenta con el mismo número de teléfono, y que por eso solicitan el envío del código de verificación para, supuestamente, determinar si el inicio de sesión fue legítimo.
“Hemos enviado una solicitud de verificación de la identidad para corroborar la raíz. Si no consigue pasar la verificación o abandona el intento, se generará una suspensión indefinida”, dice el mensaje. Como vemos, los atacantes procuran convencer a sus víctimas para que entreguen el código, con el que posteriormente consiguen apoderarse de las cuentas.
En este accionar, los delincuentes digitales hacen el intento de ingresar el número de teléfono del usuario en WhatsApp y por eso mismo ocurre lo que ellos advirtieron: el mensajero registra un intento de acceso. Entonces, la compañía envía automáticamente la clave y la víctima la reenvía. Con ese acceso, los piratas informáticos pueden acceder a toda la información del usuario, desde sus contactos hasta las conversaciones.
En estos casos, la recomendación es la habitual: estar al tanto de que WhatsApp no pedirá por esos medios el envío de un código, que solamente se solicita al instalar la aplicación en un nuevo dispositivo, sin que sea necesario compartirlo ni ingresarlo en otros espacios más allá de la propia aplicación.