Facebook ha reconocido no tener un nivel “adecuado” de control sobre cómo sus sistemas usan los datos de sus millones de usuarios en todo el mundo y, por tanto, se ve incapaz de adherirse con total confianza al “tsunami” de cambios regulatorios que se han implantado en regiones como la Unión Europea (UE) y países como India o Corea del Sur.
Las compañías que basan parte de su actividad en la manipulación de los datos de sus usuarios, como Facebook, se han visto obligadas en los últimos años a afrontar los cambios regulatorios en materia de privacidad impuestos por algunas regiones.
En un documento interno de la compañía obtenido por Motherboard, la sección tecnológica del medio Vice, los ingenieros de privacidad en Facebook reconocen no tener “un nivel adecuado de control” y entendimiento sobre cómo sus sistemas utilizan los datos de sus usuarios.
Los ingenieros de la red social explican que han construido sistemas “con barreras abiertas”. El resultado de esto es descrito con una analogía: una botella de tinta. Este objeto representa una mezcla de todo tipo de datos de sus usuarios (los datos propios, los de terceros, los considerados especialmente sensibles, los europeos...).
Si esa botella de tinta es vertida sobre un lago, que vendría a representar los sistemas “abiertos” de Facebook, los datos fluyen “por todas partes”. A continuación, los ingenieros se preguntan cómo es posible volver a embotellar esa tinta.
Esta situación impide a la red social adherirse con total confianza a los cambios de políticas y compromisos externos como decidir que dejarán de usar unos datos concretos para un propósito específico. Sin embargo, esto es algo que se espera de la compañía lo que incrementa “el riesgo de problemas y tergiversaciones”.
Facebook reconoce que está ante un problema “fundamental” en el documento, fechado en 2021, a la hora de afrontar lo que denomina como un “tsunami” de regulaciones sobre la privacidad de los usuarios en todo el mundo, como la creación en 2018 del RGPD (Reglamento General de Protección de Datos) en Europa.
La red social cree conveniente una inversión adicional tanto en su equipo de Anuncios como en aquellos encargados de su infraestructura para afrontar estos desafíos tras verse “sorprendidos” por los cambios regulatorios introducidos en 2021 tanto en la UE como en países como India, Corea del Sur, Tailandia, Egipto o Sudáfrica, que restringirán el uso de datos propios.
Esta inyección económica se plantea para ser repartida a lo largo de varios años y su objetivo es permitir a la red social recuperar el control sobre cómo sus sistemas ingieren y procesan datos.
Hackers engañan a tecnológicas como Apple y Google para obtener datos de usuarios
Gigantes tecnológicos como Apple, Meta, Alphabet (matriz de Google), Snap, Twitter y Discord han sido engañados por un grupo de hackers para proporcionar información personal de sus consumidores que, posteriormente, ha sido utilizada para acosar y extorsionar a mujeres y menores.
Los ciberdelincuentes disponen de una nueva herramienta para obtener información personal que puede ser utilizada para el acoso y la extorsión, además de para sacar un beneficio económico por medio de la ingeniería social.
Esta nueva táctica permite a los atacantes hacerse pasar por agentes de la ley, según informa Bloomberg citando a fuentes implicadas en la investigación. El método, que ha empezado a ser usado con mayor insistencia en los últimos meses, engaña a las compañías y les envía una solicitud de datos de emergencia para acceder a la información personal de su base de usuarios suplantando a agencias policiales.
Una solicitud de datos de emergencia es un procedimiento utilizado por las fuerzas del orden en Estados Unidos para recabar información de compañías que proveen servicios alegando que se trata de una situación de emergencia, como la prevención de casos de suicidio, asesinato o secuestro, y no disponen de tiempo para presentar una citación.
Las empresas engañadas, entre las que están Apple, Meta, Alphabet, Snap, Twitter y Discord, no suelen tener obligación legal de proporcionar los datos requeridos ya que las solicitudes de emergencia no tienden a incluir una orden firmada por un juez. Sin embargo, suelen acceder a ello como gesto de ‘buena fe’.
El método empleado por los ciberdelincuentes varía, pero suele seguir un patrón que empieza con el hacker atacando el sistema de correo electrónico de una agencia de las fuerzas del orden extranjera.
Posteriormente, el atacante falsifica una solicitud de datos de emergencia, que envía a una empresa tecnológica para pedir información personal sobre la cuenta de un usuario. Los datos proporcionados varían según cada empresa. Por norma general, suelen incluir el nombre del usuario, su dirección IP, su correo electrónico y su domicilio.
Los principales objetivos de estos ciberdelincuentes son las mujeres y niños. En algunos casos, el atacante llega a presionarles para crear y compartir contenido sexual explícito amenazándoles con sufrir represalias si no acceden a sus deseos.
El exdirector de Seguridad de Facebook y ahora consultor, Alex Stamos, comenta al medio estadounidense que los departamentos policiales tendrán que centrarse en prevenir que se comprometan las cuentas de los usuarios. Para ello, propone una autenticación multifactorial y un “mejor análisis del comportamiento del usuario”.
Las tecnologías deberían, por su parte, “implementar una política de confirmación” mediante llamadas telefónicas, además de pedir a las fuerzas del orden que usen sus portales dedicados para detectar mejor posibles suplantaciones de cuentas.
Con información de Europa Press