1. Tipo de Infracción: La infracción implicó acceso no autorizado a cuentas de usuario, lo que permitió a los atacantes ver potencialmente información privada, incluidos detalles de perfil y publicaciones, así como grupos y eventos privados de los que los usuarios afectados eran miembros.
2. Causa del incumplimiento: El problema de seguridad surgió de una vulnerabilidad en el código de Facebook que permitió a los atacantes explotar la función "Ver como", diseñada para que los usuarios obtengan una vista previa de cómo aparece su perfil ante los demás. Al abusar de esta característica, los atacantes podrían obtener tokens de acceso, las claves digitales utilizadas para verificar las identidades de los usuarios, sin su conocimiento.
3. Número de usuarios afectados: Facebook estimó inicialmente que el número de cuentas afectadas rondaba los 50 millones. Sin embargo, investigaciones posteriores revelaron que la escala del incidente era mayor, con aproximadamente 90 millones de cuentas de usuarios potencialmente afectadas.
4. Datos comprometidos: Si bien se produjo un acceso no autorizado a las cuentas de los usuarios, Facebook aclaró que ningún dato confidencial, como contraseñas, información de tarjetas de crédito o números de Seguro Social, se vio comprometido durante este incidente específico.
5. Respuesta inicial: Al descubrir la infracción, Facebook inició una investigación y tomó medidas para mitigar el problema. Las cuentas afectadas fueron protegidas y los usuarios cerraron sesión en sus cuentas como medida de precaución.
6. Notificación a los Usuarios: Facebook notificó a los usuarios afectados a través de mensajes en pantalla y alertas por correo electrónico, informándoles sobre la infracción y aconsejándoles que tomaran las precauciones de seguridad necesarias.
7. Impacto en los usuarios: Además de exponer potencialmente información privada, la infracción puede tener implicaciones para la privacidad de los usuarios, ya que los atacantes podrían utilizar los datos obtenidos para phishing, campañas de spam personalizadas u otros fines maliciosos.
8. Escrutinio externo: El incidente fue objeto de un intenso escrutinio por parte de legisladores, defensores de la privacidad y usuarios, lo que generó dudas sobre la capacidad de Facebook para proteger los datos de los usuarios y abordar las vulnerabilidades en sus sistemas.
9. Investigaciones regulatorias: El incidente atrajo la atención de los reguladores a nivel mundial, lo que llevó a investigaciones sobre el manejo de los datos de los usuarios por parte de Facebook y si se violó alguna norma de protección de datos.
10. Cambios en las medidas de seguridad: Tras la infracción, Facebook implementó medidas de seguridad adicionales, incluida una nueva herramienta llamada "Alertas de inicio de sesión" para informar a los usuarios sobre intentos de inicio de sesión sospechosos, permisos de aplicaciones de terceros más estrictos y procesos mejorados de recuperación de cuentas.
11. Acuerdo legal: En julio de 2019, Facebook llegó a un acuerdo de 5 mil millones de dólares con la Comisión Federal de Comercio (FTC) por preocupaciones de privacidad, incluidas acusaciones de que la compañía no protegió adecuadamente los datos de los usuarios a la luz de la violación de seguridad de 2018.
12. Esfuerzos de seguridad en curso: Facebook continúa invirtiendo en mejoras de seguridad, implementando varias iniciativas para detectar y prevenir el acceso no autorizado, fortalecer la autenticación de los usuarios y responder rápidamente a los incidentes de seguridad.
Es importante señalar que Facebook ha realizado cambios significativos en sus prácticas de seguridad desde el incidente de 2018. Estos cambios han ayudado a mejorar la seguridad de los datos de los usuarios y Facebook continúa trabajando para proteger la privacidad de los usuarios.
