mié. Jun 3rd, 2026
Pantalla con código de programación y alerta roja sobre '507M registros filtrados' en referencia a fuga masiva de datos

“Fuga masiva de datos: 500 millones de usuarios de Facebook expuestos en línea”

By masterfoco 2 meses ago

Alerta global: Información personal de más de 500 millones de usuarios de Facebook quedó al descubierto en un foro de hackers.

Una base de datos con información privada de 507 millones de usuarios de Facebook —incluyendo números de teléfono, direcciones de correo electrónico, fechas de nacimiento y, en algunos casos, ubicaciones— fue publicada gratis en un foro de hackers este fin de semana. El incidente, confirmado por expertos en ciberseguridad, expone uno de los mayores riesgos de privacidad en la historia de las redes sociales, superando incluso el escándalo de Cambridge Analytica en 2018, que afectó a 87 millones de perfiles.

Los datos, que corresponden a usuarios de 106 países, incluyen registros de 32 millones de estadounidenses, 11 millones de británicos y 6 millones de indios, según un análisis preliminar de la empresa de inteligencia de amenazas Hudson Rock. Lo más preocupante: la información parece provenir de una vulnerabilidad explotada en 2019, que Facebook aseguró haber solucionado. Sin embargo, los ciberdelincuentes habrían almacenado los datos durante años para liberarlos ahora, cuando su valor en el mercado negro es mayor.

El conjunto de datos fue compartido inicialmente en un foro de hackers conocido por traficar información robada. Aunque Facebook no ha emitido un comunicado oficial sobre este nuevo incidente, un portavoz de la compañía declaró a Reuters que “esta es información antigua” y que la vulnerabilidad que permitió la extracción masiva fue corregida en agosto de 2019. Sin embargo, expertos advierten que, incluso siendo datos “viejos”, siguen siendo útiles para ataques de phishing, suplantación de identidad y extorsión.

Entre los afectados hay figuras públicas, periodistas y altos ejecutivos, cuyos números de teléfono podrían ser usados para campañas de ingeniería social o ataques dirigidos. En 2021, un caso similar involucró al CEO de Twitter, Jack Dorsey, cuya cuenta fue hackeada mediante un ataque de SIM swapping, técnica que aprovecha justamente este tipo de filtraciones.

¿Cómo verificar si tus datos están en la fuga?

El sitio Have I Been Pwned (HIBP), creado por el experto en seguridad Troy Hunt, ya incorporó la base de datos filtrada a su sistema. Los usuarios pueden ingresar su correo electrónico o número de teléfono para comprobar si su información fue comprometida. Hasta el momento, más de 2 millones de personas han consultado la plataforma, colapsando temporalmente sus servidores.

Ver  EEUU toma el control: pagará servicios clave de Venezuela con fondos del petróleo

Hunt advirtió que, aunque la fuga no incluya contraseñas, “la combinación de número de teléfono y correo es suficiente para que los atacantes intenten acceder a otras cuentas, como bancos o servicios de streaming“. Recomendó activar la autenticación en dos pasos en todas las plataformas y estar alerta a mensajes sospechosos que mencionen datos personales.

Facebook en la mira: ¿fallos recurrentes o negligencia?

Esta no es la primera vez que Facebook enfrenta una crisis por manejo de datos. En 2018, el escándalo de Cambridge Analytica reveló cómo la información de millones de usuarios fue utilizada para influir en elecciones políticas, incluyendo las presidenciales de EE.UU. Un año después, en 2019, la compañía pagó una multa récord de US$5.000 millones a la Comisión Federal de Comercio (FTC) por violaciones a la privacidad. Pese a ello, los incidentes se repiten.

El regulador europeo de protección de datos, GDPR, podría imponer nuevas sanciones a Meta (empresa matriz de Facebook) si se demuestra que no tomó medidas suficientes para proteger la información de los usuarios. En 2020, la empresa ya fue multada con €50 millones por violaciones similares. Mientras tanto, usuarios en redes sociales exigen respuestas claras con el hashtag #FacebookLeaks, que se volvió trending topic en Twitter.

¿Qué pueden hacer los afectados?

  • Verificar exposición: Usar herramientas como Have I Been Pwned para confirmar si los datos están en la fuga.
  • Cambiar contraseñas: Aunque no se filtraron passwords, es clave actualizarlas en todas las plataformas vinculadas al correo o teléfono expuesto.
  • Activar autenticación en dos pasos: Añadir una capa extra de seguridad en cuentas de redes sociales, bancos y emails.
  • Desconfiar de mensajes sospechosos: No responder llamadas, SMS o correos que soliciten información personal, aunque parezcan legítimos.
  • Congelar créditos (EE.UU.): Los ciudadanos estadounidenses pueden solicitar un “credit freeze” para evitar que abran cuentas fraudulentas a su nombre.
Ver  "Centinela del Ártico" une a la OTAN tras crisis por Groenlandia y amenaza rusa

El incidente reabre el debate sobre la responsabilidad de las redes sociales en la protección de datos. Mientras los usuarios exigen mayor transparencia, los expertos cuestionan si las multas millonarias son suficientes para cambiar las prácticas de empresas que manejan información de miles de millones de personas. ¿Estamos condenados a repetir los mismos errores, o esta será la gota que colme el vaso para una regulación global más estricta?

Lecturas relacionadas:

  • Cómo proteger tus redes sociales de hackers en 5 pasos
  • Phishing en 2024: las nuevas tácticas que usan tu número de teléfono
  • GDPR vs. Big Tech: ¿por qué las multas no frenan las filtraciones?
  • El mercado negro de datos: así se vende tu información en la dark web

El precedente ignorado: la fuga de 2019 que Facebook no logró contener

La filtración actual no es un incidente aislado, sino la consecuencia directa de una vulnerabilidad masiva en la API de Facebook explotada entre 2017 y 2019, que permitió a actores malintencionados extraer datos de perfiles mediante un método conocido como scraping automatizado. En abril de 2019, investigadores de la empresa de ciberseguridad UpGuard descubrieron que dos apps de terceros —“At the Pool” y “Cultura Colectiva”— habían dejado expuestos 540 millones de registros en servidores de Amazon Web Services (AWS) sin protección por contraseña. Facebook respondió entonces con una purga de aplicaciones sospechosas, pero, como demuestra esta nueva fuga, los datos ya habían sido copiados y almacenados en bases de datos privadas.

Lo más alarmante es que, según un informe interno de Facebook filtrado por The Wall Street Journal en 2021, la compañía era consciente desde 2018 de que al menos 100 desarrolladores de apps habían accedido a información de usuarios más allá de los límites permitidos, pero optó por no notificarlo públicamente para evitar un nuevo escándalo. El documento, parte de una investigación de la Securities and Exchange Commission (SEC), revelaba que Facebook priorizó “gestionar la percepción del riesgo” sobre “mitigar el riesgo real”. Esta estrategia de opacidad contrasta con las promesas de transparencia que la empresa hizo tras el caso Cambridge Analytica, donde su entonces CEO, Mark Zuckerberg, testificó ante el Congreso de EE.UU. en abril de 2018 asegurando que la compañía implementaría “medidas sin precedentes” para proteger los datos.

Ver  "No es suficiente": Trump frena a Irán pero deja la puerta abierta a un acuerdo histórico

El modus operandi de esta fuga repite patrones de incidentes previos vinculados a Facebook:

  • 2013: Filtración de 6 millones de números de teléfono y direcciones de correo debido a un error en la función “Descargar tu información”. La compañía tardó un año en admitirlo.
  • 2016: Datos de 50 millones de usuarios fueron comprometidos por un fallo en la función “Ver como”, que permitía a los atacantes robar tokens de acceso y tomar control de cuentas. Facebook lo ocultó durante dos semanas.
  • 2020: Una base de datos con 267 millones de perfiles (incluyendo nombres, IDs y ubicaciones) fue vendida en la dark web por US$600. Los datos provenían de una app de quizzes llamada “Elasticsearch”, similar a las involucradas en el escándalo actual.

¿Por qué los datos “viejos” son más peligrosos de lo que Facebook admite?

Facebook insiste en minimizar el impacto alegando que se trata de “información antigua”, pero los expertos advierten que este tipo de datos no caducan para los ciberdelincuentes. Según un estudio de IBM Security publicado en 2023, el 60% de los ataques de phishing exitosos utilizan información personal obtenida de filtraciones con más de dos años de antigüedad, ya que los usuarios tienden a reutilizar contraseñas y no actualizan sus medidas de seguridad. Además, la combinación de número de teléfono + correo electrónico —precisamente lo filtrado ahora— es la puerta de entrada para técnicas como el SIM swapping, que en 2022 generó pérdidas por US$68 millones solo en EE.UU., según la Federal Trade Commission (FTC). La pregunta clave no es si Facebook corrigió la vulnerabilidad en 2019, sino por qué permitió que los datos extraídos entonces circularan impunemente durante cinco años —y qué otras bases de datos siguen en manos de actores malintencionados, esperando el momento óptimo para ser monetizadas.

Referencia de contenido: aquí

Categorías