La empresa descubre un fallo de seguridad que permitía a los ‘hackers’ usar cuentas ajenas como propias.
Guy Rosen, vicepresidente de producto, admitió que no saben en realidad qué hicieron los piratas informáticos una vez que obtuvieron acceso a los perfiles: «El ataque podía usar la cuenta como si fuera el propietario. No sabemos exactamente qué hicieron más allá de entrar a la página del perfil, pero ni vieron los mensajes privados ni postearon ni vieron la información de tarjetas de crédito», ha afirmado.
En una segunda rueda de prensa telefónica, la plataforma explicó que el hackeo era mucho peor de lo esperado: los piratas habían podido acceder a apps como Instagram o Spotify si los usuarios habían entrado con su cuenta de Facebook. El desastre potencial es mucho mayor.
Los hackers se aprovecharon de una debilidad en el código introducida en julio de 2017 en una nueva funcionalidad de vídeo. A través de la combinación inesperada de tres errores en el código de Facebook, los atacantes tuvieron acceso a las llaves (token) de 50 millones de cuentas. Esas llaves internas permiten que Facebook recuerde los datos del usuario, de forma que no haya que poner la contraseña cada vez que accede a la aplicación.
«Las vulnerabilidades son muy oscuras y difíciles de encontrar», ha explicado Rosen, pero el hecho de que sea «hackeable» incluso una compañía enorme cuyo negocio central son los datos de sus usarios, indica que la seguridad absoluta en la Red es difícil de conseguir.
La red social ha hecho que por precaución 90 millones de usuarios deban entrar de nuevo con su vieja contraseña. Las cuentas afectadas se encontrarán un anuncio al principio de su news feed.
De acuerdo con la nueva Ley de Protección de Datos europea, Facebook también ha avisado del ataque a la comisión de datos de Irlanda. Junto al FBI, son las dos únicas instituciones alertadas por la compañía.
Zuckerberg ha reconocido que Facebook recibe «constantes ataques informáticos» y que deben «seguir haciendo más para evitar que ocurran de nuevo».
El pasado viernes 21 de septiembre, Facebook lanzó una investigación tras detectar una actividad inusual entre usuarios. Cuatro días después descubrieron el ataque y el jueves arreglaron la vulnerabilidad. La compañía insiste en que la investigación está en su fase inicial y todo está por determinar. «Quizá no lo sepamos nunca», ha avisado Rosen. La compañía no ha concedido ningún plazo para dar más información: «Cuando tengamos algo más, lo contaremos», ha dicho Zuckerberg.
Este viernes un hacker taiwanés, Chang Chi-yuan, ha anunciado que iba a retransmitir en directo cómo borraba la cuenta de Mark Zuckerberg. «No tenemos ninguna constancia de que haya sido esa persona», ha dicho Rosen durante la llamada. Chang es un hacker cazador de recompensas, que se dedica a encontrar vulnerabilidades en webs a cambio de dinero.
Según reveló el New York Times, las cuentas de Mark Zuckerberg y Sheryl Sandberg, jefa de operaciones de la compañía, fueron dos de las afectadas por la operación.
Facebook tiene más de 2.000 millones de usuarios en todo el mundo. Otros 1.000 millones utilizan sus redes subsidiarias, Instagram y Whatsapp. La empresa se encuentra bajo los focos por el tratamiento que da a los datos personales de los usuarios, el producto que vende a los anunciantes. Las dudas sobre Facebook comenzaron con el escándalo de Cambridge Analytica, una consultora política que obtuvo datos de decenas de millones de usuarios de Facebook de manera irregular y luego asesoró a la campaña de Donald Trump en 2016.