Así rastrean tus datos en las redes sociales

¿Cuánta información personal comparte en sus páginas de perfil de redes sociales?

¿Nombre, ubicación, edad, rol laboral, estado civil, disparo en la cabeza? La cantidad de información que la gente se siente cómoda con publicar en línea varía.

Pero la mayoría de la gente acepta que cualquier cosa que pongamos en nuestra página de perfil público es de dominio público.

Entonces, ¿cómo te sentirías si toda tu información fuera catalogada por un hacker y puesta en una hoja de cálculo monstruosa con millones de entradas, para ser vendida en línea al cibercriminal mejor pagado?

Eso es lo que hizo el mes pasado un hacker que se hace llamar Tom Liner "por diversión" cuando compiló una base de datos de 700 millones de usuarios de LinkedIn de todo el mundo, que está vendiendo por alrededor de 5.000 dólares (3.600 libras esterlinas; 4.200 €).

El incidente, y otros casos similares de raspado de redes sociales, han provocado un feroz debate sobre si la información personal básica que compartimos públicamente en nuestros perfiles debe estar mejor protegida.

En el caso del Sr. Liner, su último exploit fue anunciado a las 08:57 BST en un post en un notorio foro de hacking.

Fue una hora extrañamente civilizada para los hackers, pero por supuesto no tenemos idea en qué zona horaria, vive el hacker que se hace llamar Tom Liner.

"Hola, tengo 700 millones de registros de LinkedIn 2021", escribió.

En el post se incluyó un enlace a una muestra de un millón de registros y una invitación para que otros hackers se pusieran en contacto con él en privado y le hicieran ofertas para su base de datos.

Es comprensible que la venta haya causado revuelo en el mundo de la piratería y Tom me diga que está vendiendo su transporte a "múltiples" clientes felices por alrededor de $5,000 (3,600 £; €4,200).

No dirá quiénes son sus clientes, o por qué querrían esta información, pero dice que los datos probablemente se están utilizando para más campañas de hacking malicioso.

La noticia también ha prendió fuego al mundo de la ciberseguridad y la privacidad con argumentos sobre si deberíamos o no estar preocupados por esta creciente tendencia de mega rasguños.

Lo que es importante entender aquí es que estas bases de datos no se están creando irrumpiendo en los servidores o sitios web de las redes sociales.

Se construyen en gran medida raspando la superficie orientada al público de las plataformas utilizando programas automáticos para tomar cualquier información disponible libremente sobre los usuarios.

En teoría, la mayoría de los datos que se recopilan se podían encontrar simplemente seleccionando páginas de perfil de redes sociales individuales una por una. Aunque, por supuesto, tomaría varias vidas recopilar tantos datos juntos, como los hackers son capaces de hacer.

En lo que va del año, ha habido al menos otros tres incidentes importantes de "raspado".

En abril, un hacker vendió otra base de datos de alrededor de 500 millones de registros raspados de LinkedIn.

En la misma semana, otro hacker publicó una base de datos de información raspada de 1,3 millones de perfiles de Clubhouse en un foro gratuito.

También en abril, se compilaron 533 millones de detalles de usuario de Facebook a partir de una mezcla de raspado antiguo y nuevo antes de ser regalado en un foro de hacking con una solicitud de donaciones.

El hacker que dice ser responsable de esa base de datos de Facebook, se hace llamar Tom Liner.

Hablé con Tom durante tres semanas en Telegram messages, una aplicación de mensajería instantánea basada en la nube. Algunos mensajes e incluso llamadas perdidas se hicieron en medio de la noche, y otros durante las horas de trabajo, por lo que no había ni idea de su ubicación.

Las únicas pistas de su vida normal fueron cuando dijo que no podía hablar por teléfono mientras su esposa dormía y que tenía un trabajo diurno y que hackear era su "hobby".

Tom me dijo que creó la base de datos de LinkedIn de 700 millones usando "casi exactamente la misma técnica" que usó para crear la lista de Facebook.

Dijo: "Me llevó varios meses hacerlo. Era muy complejo. Tuve que hackear la API de LinkedIn. Si haces demasiadas solicitudes de datos de usuario en una sola vez, el sistema te prohibirá permanentemente".

API significa interfaz de programación de aplicaciones y la mayoría de las redes sociales venden asociaciones de API, que permiten a otras empresas acceder a sus datos, tal vez con fines de marketing o para crear aplicaciones.

Tom dice que encontró una manera de engañar al software de la API de LinkedIn para que le diera el enorme tramo de registros sin activar alarmas.

Privacy Shark, que descubrió por primera vez la venta de la base de datos, examinó la muestra gratuita y encontró que incluía nombres completos, direcciones de correo electrónico, género, números de teléfono e información de la industria.

LinkedIn insiste en que Tom Liner no utilizó su API, pero confirmó que el conjunto de datos "incluye información raspada de LinkedIn, así como información obtenida de otras fuentes".

Añade: "Esto no fue una violación de datos de LinkedIn y no se expusieron datos privados de miembros de LinkedIn. Raspar datos de LinkedIn es una violación de nuestros Términos de Servicio y estamos trabajando constantemente para garantizar que la privacidad de nuestros miembros esté protegida".

En respuesta a su susto de datos de abril, Facebook también eliminó el incidente como un viejo rasguño. El equipo de la oficina de prensa incluso reveló accidentalmente a un reportero que su estrategia es "enmarcar el raspado de datos como un amplio problema de la industria y normalizar el hecho de que esta actividad ocurre regularmente".

Sin embargo, el hecho de que los hackers estén haciendo dinero con estas bases de datos preocupa a algunos expertos en seguridad cibernética.

El director ejecutivo y fundador de SOS Intelligence, una empresa que proporciona a las empresas inteligencia de amenazas, Amir Hadžipašić, barre los foros de hackers en la web oscura día y noche. Tan pronto como se difundió la noticia de la base de datos de LinkedIn de 700 millones, él y su equipo comenzaron a analizar los datos.

El Sr. Hadžipašić dice que los detalles en este y otros eventos de desguace masivo no son lo que la mayoría de la gente esperaría que estuviera disponible en el dominio público. Él piensa que los programas de API, que dan más información sobre los usuarios de la que el público en general puede ver, deben estar más estrictamente controlados.

"Falgas a gran escala como esta son preocupantes, dado el intrincado detalle, en algunos casos, de esta información, como ubicaciones geográficas o direcciones móviles y de correo electrónico privadas.

"Para la mayoría de la gente será una sorpresa que haya tanta información en poder de estos servicios de enriquecimiento de API.

"Esta información en las manos equivocadas podría tener un impacto significativo para algunos", dijo.