El pasado fin de semana se descubrió que una gigantesca base de datos de usuarios de Facebook se había hecho pública, y cualquiera podía acceder a la información de 533 millones de personas, 11 millones de ellas de España.
Es el último escándalo de una larga ristra relacionados con la red social de Mark Zuckerberg; en este caso concreto, es preocupante porque incluye los números de teléfono asociados con cada cuenta, que pueden ser usados tanto para enviar spam como para acosar o intentar engañar a los usuarios.
Dada la magnitud de la filtración, uno podría pensar que se ha convertido en la máxima prioridad para la compañía, pero no parece ser así. La respuesta de Facebook ha llegado en dos partes; la primera, nada menos que dos días después de que la base de datos se hiciese pública.
Facebook responde
La publicación en su blog oficial, firmada por el director de Product Management, Mike Clark, se centra en explicar de dónde vienen los datos obtenidos por los atacantes y cómo los consiguieron; lo que no hay en ninguna parte de la publicación es una mera disculpa, o incluso una admisión de error.
La explicación tampoco dice nada que no se supiese ya. Antes, Facebook contaba con una funcionalidad que permitía a los desarrolladores obtener información de usuarios sin su consentimiento expreso; por ejemplo, a través de sus amigos de la red social.
Facebook resalta que no ha sido hackeada, pero la verdad es que los atacantes no necesitaron hacerlo; con un método llamado 'scrapping', obtuvieron todos los datos posibles de manera automatizada. Según la compañía, este ataque se realizó en septiembre de 2019, aunque es algo que algunos investigadores de seguridad ya han contradicho, afirmando que avisaron a la compañía en 2018 o incluso en 2017.
Si todo esto le suena al lector, es porque es la misma postura que Facebook tomó con el escándalo de Cambridge Analytica, y por el que la compañía ha sido multada ya en varios países.
¿Qué hará Facebook para evitar estos ataques? Pues dice que ya lo ha hecho todo, que el "problema concreto", como lo llama, ya no existe en la red social; además, afirma que ya tiene equipos dedicados a atajar ese tipo de problemas y comprender el impacto que tienen en los usuarios. Pero eso no significa que vaya a avisarles.
Facebook no avisará
El día de ayer, Facebook confirmó a Reuters que no planea avisar a los usuarios afectados de que sus datos están al aire libre, y probablemente ya en los discos duros de muchos atacantes. Si quieres saber si tu número de teléfono ha sido filtrado, hay páginas privadas que ofrecen un buscador, algo que no ofrecerá Facebook.
La lógica que usa Facebook es que los usuarios no pueden hacer nada al respecto, incluso si saben lo que ha ocurrido. Una excusa pobre como pocas. No sólo se podría decir eso mismo de cualquier filtración de datos, sino que los usuarios sí pueden hacer cosas; como por ejemplo, tener más precaución frente a llamadas sospechosas, comprender qué información personal está disponible en la red, y decidir mejor qué comparten con Facebook (o cualquier otro servicio).
En vez de eso, Facebook lo deja en manos de los propios usuarios. La parte final de la publicación oficial está dedicada a explicar que los usuarios pueden cambiar la configuración de su cuenta de Facebook para definir qué es lo que quieren hacer público, insinuando que es cosa de los usuarios, y no de la compañía, proteger esos datos.