La brecha de seguridad revelada el 28 de septiembre por Facebook afectó a decenas de millones de cuentas en la red social. que cuenta con más de 2,2 mil millones de usuarios mensuales.

El miércoles, la autoridad de datos irlandesa dijo que estaba abriendo una investigación formal sobre si la red social más grande del mundo cumplía con las nuevas y estrictas regulaciones de privacidad de la UE.

- ¿Qué pasó?

Los piratas informáticos aprovecharon una "interacción compleja" entre tres errores de software, que requería un grado de sofisticación.

La vulnerabilidad fue creada por un cambio en una función de carga de videos en julio de 2017.

Se trataba de una falla en una función "Ver como" que mostraba a Facebook cómo ven sus perfiles a otras personas en la red social.

Usando la función de teclas digitales generadas, llamado "tokens de acceso, "que permite a los usuarios permanecer conectados a sus cuentas sin tener que volver a introducir contraseñas.

Los piratas informáticos pudieron robar copias de las claves digitales, dándoles el mismo acceso y control de cuentas que sus legítimos propietarios.

El 16 de septiembre Facebook notó un aumento en la actividad que lo llevó a investigar.

El 25 de septiembre Los ingenieros de Facebook determinaron que los piratas informáticos habían lanzado un ataque sofisticado aprovechando la vulnerabilidad. Se implementó una solución dos días después y los tokens robados se volvieron inútiles.

Facebook no reveló cuándo los piratas informáticos se aprovecharon de la falla por primera vez, diciendo que la investigación era temprana.

- ¿Qué datos se filtraron?

Los piratas informáticos parecían interesados ​​en los nombres incluidos, géneros y ciudades de origen, pero no estaba claro con qué propósitos, dijeron los ejecutivos en una rueda de prensa telefónica.

Facebook dijo que todavía estaba tratando de averiguar qué, si algo, los hackers hicieron en cuentas violadas. Al principio no parecía que los mensajes o las publicaciones fueran manipulados, y no había acceso a información bancaria o de contraseña, según la red social.

Dado que las claves digitales abrieron las puertas de Facebook de par en par a los piratas informáticos, habrían tenido la capacidad de acceder a aplicaciones de terceros vinculadas a cuentas de redes sociales.

Habrían podido acceder a cuentas vinculadas, incluidas Messenger o Instagram, ambos son propiedad de Facebook, pero no en el servicio WhatsApp de la red social.

Un análisis de los registros de aplicaciones de terceros no arrojó señales de que los piratas informáticos se hubieran entrometido, Facebook dijo el 2 de octubre.

- ¿Quién debería preocuparse?

Facebook dijo que "hasta 50 millones de cuentas" se vieron afectadas directamente, lo que significa que los piratas informáticos robaron claves digitales.

Según la Comisión de Protección de Datos de Irlanda, cinco millones o menos de usuarios europeos se encontraban entre los afectados.

Se restablecieron los tokens de 40 millones de cuentas adicionales que usaban la función "Ver como", aunque no parecía que fueran el objetivo de los piratas informáticos.

- ¿Medidas tomadas por Facebook?

Facebook dijo que selló la brecha a última hora del 27 de septiembre en California. donde tiene su sede, y alertó a las autoridades policiales estadounidenses así como a los reguladores en Irlanda.

Facebook anuló los "tokens de acceso" en cuestión en la infracción, requiriendo que las personas inicien sesión nuevamente con contraseñas. La red social informó a los involucrados mediante la publicación de mensajes en la parte superior de las noticias.

- ¿Cuál es el riesgo para Facebook?

Los riesgos para Facebook dependen de cómo cumplió con diversas leyes y regulaciones, incluido el nuevo Reglamento general de protección de datos en Europa.

Las preguntas que probablemente se formularán incluirán si Facebook fue lo suficientemente rápido para notificar a los usuarios sobre la infracción y qué tan bien protegió las cuentas.

La protección de los datos de las personas es competencia de la Comisión Federal de Comercio de los Estados Unidos. pero los estados también podrían estar interesados ​​en asegurarse de que no se violen las leyes locales de privacidad o protección de datos.

En Europa, la violación de Facebook y cómo se manejó se examinaría a través de la lente del GDPR, que reforzó la protección de los datos personales.

Las empresas ahora pueden ser multadas con un porcentaje de los ingresos anuales si infringen las reglas del RGPD. Facebook parecía haber cumplido con un plazo de 72 horas con respecto a la divulgación pública de un hack. lo que podría ahorrarle una multa de más de mil millones de dólares.

© 2018 AFP