Hace unas semanas les presentábamos el novedoso y original término "hackarillismo" a partir del “hackeo” a Youtube y la desinformación que circuló en los medios respecto a esa noticia. Como decía Ignacio Sbampato en aquel post, "un gran amigo de la desinformación es el uso incorrecto que se hace diariamente de todos los términos relacionados al hacking", y en el día de ayer, una vez más, nos encontramos con un caso similar respecto a un incidente relacionado a Facebook, que muchos lectores habrán leído (incorrectamente) como "el hackeo a Facebook". O "los", ya que han sido dos los problemas de seguridad que fueron públicos en los últimas días relacionados a la red social más utilizada, y nada mejor que explicar cómo ocurrió cada incidente.
El primero es muy sencillo. Algunos habrán escuchado que "fueron expuestos datos de 100 millones de usuarios de Facebook" y, como decíamos, en muchos casos acompañando la noticia de palabras como hacking, hacker y derivados. En realidad, se trató simplemente de un rastreo de información realizado por Ron Bowws, de la firma Skull Security, que publicó en un torrent un archivo (¡de más de 2 Gigabytes!) que contiene 171 millones de entradas correspondientes a un quinto de los usuarios de Facebook. ¿Cómo lo logró? No accedió a las bases de datos de Facebook ni explotó ninguna vulnerabilidad. Simplemente creó una aplicación que buscó en la red social todos los perfiles que poseen información pública, y juntó toda esa información en un único archivo y lo hizo público. ¿Qué pueden hacer como usuarios? Teniendo en cuenta que uno de cada cinco usuarios están expuestos en esa base de datos, les recomiendo revisar sus configuraciones de privacidad y verificar qué datos de sus perfiles son públicos y no poseen ninguna restricción.
El otro incidente que sufrió la red social fue observado sólo por los usuarios de Facebook en español, ya que en el día de ayer algunos habrán podido observar que se veían en la red social contenidos inapropiados en donde debía decir palabras sencillas como "muro" o "me gusta". Sin embargo, tampoco se trató de un acceso indebido a los sistemas, sino de una ingeniosa burla al sistema de traducción que le permite a los usuarios proponer mejoras en las traducciones a otros idiomas distintos al inglés. Básicamente lo que hicieron un grupo de usuarios fue crear cientos de perfiles falsos, y con ellos proponer mejores traducciones en forma masiva. Como Facebook posee este sistema de "escuchar a los usuarios", si muchos usuarios proponen traducciones iguales el cambio se aplica automáticamente y queda vulnerable a este tipo de incidentes. ¿Qué pueden hacer los usuarios? Nada, en este caso sólo esperar que la gente de Facebook corrija las traducciones que quedaron erróneas.
Vale la pena citar las palabras de nuestro primer post cuando presentábamos el término "hackarillismo":
Se lee diariamente que tal o cual lugar “fue hackeado” cuando se quiere decir que su seguridad fue vulnerada, no solo tergiversando el verdadero significado de esos términos, sino más bien usándolos para una especie de hackarillismo donde se habla de hacking porque llama más la atención de los usuarios.
La seguridad de Internet la hacemos entre todos, y el hackarillismo cada vez más frecuente atenta contra la misma. Cuando duden sobre una noticia de seguridad usando palabras como hacking, les recomiendo visitar una fuente confiable sobre el tema en lugar de aquellos donde, por falta de especialización o por búsqueda de más visibilidad, no se usan adecuadamente, y así entender mejor cuales son los verdaderos problemas de seguridad y cómo evitarlos.
En resumen, el término hacker parece tener una especie de atractivo al momento de comunicar noticias relacionadas a la seguridad, así que si se llegan a cruzar con él, intenten averiguar la real naturaleza del incidente, la mejor forma de comprender el ataque y por ende sus consecuencias desde el punto de vista de la seguridad.
Sebastián Bortnik
Analista de Seguridad
