“Fuga masiva de datos: 500 millones de usuarios de Facebook expuestos en línea”
Alerta global: Información personal de medio billón de cuentas de Facebook circula libremente en foros de hackers.
Una base de datos con información de más de 500 millones de usuarios de Facebook —incluyendo números de teléfono, direcciones de correo electrónico, fechas de nacimiento y, en algunos casos, ubicaciones— ha sido filtrada y publicada en un foro de hackers. Según el informe de Business Insider, los datos corresponden a usuarios de 106 países, con un impacto mayor en Estados Unidos (32 millones), Reino Unido (11 millones) y India (6 millones). La filtración, detectada inicialmente por el experto en ciberseguridad Alon Gal, cofundador de la firma Hudson Rock, expone un riesgo sin precedentes para el phishing, el robo de identidad y los ciberataques dirigidos.
Los datos filtrados no incluyen contraseñas, pero la combinación de números de teléfono y correos electrónicos es suficiente para que los ciberdelincuentes lleven a cabo ataques de ingeniería social altamente efectivos. Según Gal, esta base de datos fue recopilada en 2019 mediante el aprovechamiento de una vulnerabilidad en la herramienta “Contact Importer” de Facebook, que permitía extraer información de los contactos de los usuarios. Aunque Facebook afirma haber solucionado el problema en ese año, la información ya había sido extraída y ahora ha resurgido en la dark web.
El gigante de las redes sociales se enfrentó a una situación similar en 2018, cuando la consultora Cambridge Analytica utilizó datos de 87 millones de usuarios sin su consentimiento para influir en elecciones políticas. Sin embargo, la magnitud de esta nueva filtración —que afecta a casi 1 de cada 15 personas en el planeta— supera cualquier incidente previo. Expertos en privacidad advierten que, aunque los datos sean “viejos”, su combinación con información actualizada de otras fuentes puede facilitar estafas personalizadas, como mensajes falsos de bancos o servicios gubernamentales.
Facebook ha respondido a la filtración con un comunicado en el que asegura que “no se trata de un hackeo“, sino de datos “raspados” (scraped) de perfiles públicos antes de septiembre de 2019. La compañía argumenta que la información fue obtenida mediante técnicas de automatización que violaban sus términos de servicio, pero no sus sistemas de seguridad. Sin embargo, esta distinción técnica ofrece poco consuelo a los usuarios afectados, muchos de los cuales ni siquiera eran conscientes de que sus datos estaban expuestos.
La filtración ha reavivado el debate sobre la responsabilidad de las plataformas en la protección de datos personales. En la Unión Europea, donde el Reglamento General de Protección de Datos (GDPR) impone multas de hasta el 4% de los ingresos globales de una empresa por incumplimiento, Facebook ya enfrenta investigaciones previas. En 2020, la empresa fue multada con €5 millones en Italia por violaciones similares. Mientras tanto, en Estados Unidos, donde no existe una ley federal de privacidad, los usuarios quedan en una posición más vulnerable.
Los expertos recomiendan a los afectados activar la autenticación en dos factores en todas sus cuentas, revisar la configuración de privacidad en Facebook y estar alerta ante mensajes o llamadas sospechosas. Plataformas como Have I Been Pwned, creada por el experto en seguridad Troy Hunt, permiten verificar si un correo o número de teléfono ha sido comprometido. Hunt advierte que, aunque los datos sean antiguos, “los ciberdelincuentes los usarán durante años“, combinándolos con otras filtraciones para perfilar a sus víctimas.
Esta no es la primera vez que Facebook enfrenta una crisis de privacidad, pero sí es una de las más graves en términos de escala. Con 2.800 millones de usuarios activos mensuales, la plataforma acumula una larga lista de controversias, desde el escándalo de Cambridge Analytica hasta acuerdos millonarios con reguladores. La pregunta ahora es: ¿Cuántas filtraciones más harán falta para que los usuarios exijan un cambio real?
- Cómo proteger tus datos en redes sociales: guía paso a paso para 2024
- Las 5 filtraciones de datos más grandes de la historia (y qué aprendimos de ellas)
- GDPR explicado: qué derechos tienes sobre tus datos en Europa y cómo ejercerlos
El precedente legal que Facebook intenta evitar: el caso de Equifax y sus 700 millones en multas
Mientras Facebook insiste en que esta filtración no constituye un “hackeo” sino un scraping de datos públicos, los reguladores podrían recurrir a un precedente que cambió las reglas del juego en 2019: el caso de Equifax, donde la empresa fue multada con $700 millones por exponer datos de 147 millones de estadounidenses. La clave está en cómo se interprete la negligencia en la protección de datos, incluso si estos fueron obtenidos mediante vulnerabilidades ya parcheadas.
En el caso de Equifax, la Comisión Federal de Comercio (FTC) de EE.UU. determinó que la empresa no implementó medidas básicas de seguridad (como parches para Apache Struts, el software explotado), a pesar de conocer los riesgos. Facebook podría enfrentar un argumento similar: la vulnerabilidad en su herramienta Contact Importer —explotada en 2019— ya había sido reportada por investigadores como Alon Gal años antes, en 2016, durante pruebas de seguridad. Según documentos internos filtrados por The Wall Street Journal en 2021, equipos de Facebook subestimaron el riesgo al clasificar el problema como de “prioridad media”, retrasando su solución.
La diferencia crítica con Equifax es el marco legal: mientras que en EE.UU. Facebook podría esquivar multas millonarias (la FTC ya le impuso una sanción récord de $5.000 millones en 2019 por Cambridge Analytica, pero sin admitir culpa), en la Unión Europea el escenario es más hostil. Bajo el GDPR, la autoridad irlandesa (DPC) —que supervisa a Facebook— ya tiene abiertas 11 investigaciones contra la compañía. En 2022, Meta (matriz de Facebook) fue multada con €265 millones por filtrar datos de 533 millones de usuarios en otro incidente similar. Esta vez, la cifra de afectados supera los 500 millones, y el 4% de los ingresos globales de Meta (unos $7.000 millones en 2023) está en juego.
| Caso | Año | Datos expuestos | Multa impuesta |
|---|---|---|---|
| Cambridge Analytica | 2018 | 87 millones de perfiles | $5.000 millones (FTC) |
| Filtración de 533M usuarios | 2021 | Números de teléfono, emails | €265 millones (GDPR) |
| Equifax | 2017 | 147M registros (SSN, fechas de nacimiento) | $700 millones (FTC + estados) |
¿Por qué esta filtración podría ser el “caso testigo” que redefine la privacidad digital?
La batalla legal no girará solo en torno a las multas, sino a un concepto más peligroso para Facebook: la “responsabilidad continua”. Si los tribunales europeos adoptan el criterio de que una plataforma debe garantizar la inutilización de datos ya filtrados (incluso años después), Meta podría verse obligada a financiar programas de protección para los afectados, como ocurrió con Equifax, que tuvo que ofrecer 10 años de monitoreo crediticio gratuito a las víctimas. El reloj ya corre: la DPC irlandesa tiene hasta abril de 2024 para emitir su fallo, y esta vez, con 500 millones de usuarios en 106 países, el precedente podría ser global.