Las historias de las filtraciones de datos de Facebook ya no deberían ser noticia, deberían ser un recordatorio diario de que subir datos personales a las redes sociales y a la nube en general no es una buena idea.

El último suceso de este tipo hecho público, fue a finales de 2019, cuando se supo que millones de registros de Facebook, Instagram y Whatsapp habían sido obtenidos de diversas maneras por atacantes y que los mismos se encontraban a la venta en distintos foros de hacking y canales de Telegram. 

Como menciono aquí, la filtración era conocida por algunos "pocos" pero, a partir del sábado pasado dicha base de datos con 533 millones de registros se hizo pública en Internet y cualquiera la puede bajar desde distintas URL, canales de chat, medios para compartir archivos, etc.

Dicha base de datos tiene el siguiente formato:

• Número de teléfono móvil
• ID interno de FB
• Nombre
• Apellido
• Sexo
• Actividad laboral
• Relación sentimental
• Ubicación
• Fecha de último login

En Internet se consiguen varias versiones de las filtraciones, las cuales son diferentes, no están relacionadas entre sí y parecen haber sido obtenidos por diferentes personas en diferentes momentos. Los datos se podrían haber conseguido mediante scrapping o, en el caso del número móvil, a través de la configuración incorrecta de seguridad, cuando un usuario decide compartirlo y no tiene marcado "solo yo" en la visualización del perfil.

A partir de dicha filtración decidí crear una simple página de consulta (esta), a partir de los archivos públicos que están disponibles en Telegram, Mega, Pastebin, Torrent, y cientos de otros repositorios. Dicha página elimina los datos personales completamente, anonimiza el teléfono móvil y no brinda ningún tipo de información sobre el mismo. En esta página se pueden consultar los siguientes países:

• AR 2.339.555 registros
• BO 2.969.209 registros
• CL 6.889.081 registros
• CO 12.735.073 registros
• EC 318.824 registros
• GT 1.645.068 registros
• MX 1.333.0561 registros
• PE 8.075.316 registros
• UY 1.509.317 registros

¿Los datos son públicos?

No, pero sí. Los datos han sido recolectados por alguien desconocido y han circulado por Internet al menos durante un año, antes se encontraban a la venta pero ahora pueden ser accedidos libremente en archivos ZIP.

¿Los datos solo involucran a FB o a Instagram y Whataspp también?

Son la misma empresa, involucran a todo lo que tengan registrado de un usuarios, en cualquiera de sus servicios.

¿Eso es legal?

Sí, desde el momento en que aceptaste (sin leer) las Políticas de Privacidad de esas empresas.

¿Por qué aparecen mis datos?

Porque en algún momento Facebook o tú han configurado incorrectamente el perfil de la red social y esto permitió que los datos pudieran ser recolectados de forma manual o automática por alguien con más o menos conocimiento técnico.

Si ya borre mi perfil de FB o mi número, ¿por qué mis datos aún figuran?

Porque, cuando se recolectan los datos, todos pasan a engrosar un archivo general de información. No importa si luego borras esa información, el delincuente ya los tiene. Recuerda: lo que sube a Internet, NUNCA más baja.

¿Puedo conseguir la base de datos y verificar si aparezco?

Sí, buscas el archivo de cada país y te buscas manualmente. Los archivos tienen varios Megabyte de solo texto. Para alguien técnico implica un trabajo sencillo de un par de minutos. Para un usuario final podría significar un problema.

¿Cómo se que los archivos descargados son los correctos?

¿Segu-Info va a publicar los archivos?

No, nuca. Eso favorece y facilita el trabajo de otros delincuentes que usarán los datos personales para realizar robos, estafas, fraudes y para infectarte.

Y, Segu-Info ¿por qué los tiene?

Porque accedimos a ellos en alguno de los cientos de lugares donde se encuentran disponibles.

¿Tienes permiso para tener esos datos?

No, nadie los tiene, pero la pregunta es incorrecta, es la filosofía de "matar al mensajero". La pregunta correcta sería ¿por qué Facebook no protege adecuadamente la información que tú le confiaste? o en última instancia ¿por qué entregaste dichos datos? o, ¿por qué circularon en Internet durante un año y ahora, que la fuga se hizo pública de forma masiva, me reclamas a mí?

Pero, ¿Tienes permiso para tener, manipular y mostrar esos datos?

No, nadie los tiene. Por eso en mi caso particular he anonimizado dichos datos, esto es: eliminar la información personal (como nombre, apellido, sexo, etc). y dejar sólo el número de móvil, sin identificar a quien pertenece.

Pero, ¿eso es legal?

Los distintos países tienen Ley de Protección de Datos Personales en donde se define qué es un Dato Personal. Por ejemplo, en Argentina la Ley 25.326 dice en su artículo 2:

— Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

— Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Por eso, para evitar tener tus datos personales, en mi caso he eliminado la información personal que te identifica unívocamente como "personas físicas o de existencia ideal determinadas o determinables"

Pero, ¿eso es éticamente correcto?

La ética es mi principal preocupación aquí. Si te ayudo a saber si tu número está en un listado ¿qué sería lo incorrecto? De nuevo, si no confías o tienes dudas, cierras la página.

Y, te pregunto, ¿es ético o correcto publicar un enlace con los 533 millones de datos sin anonimizar?

¿Es seguro usar esa página web?

Pero, si pongo mi número de teléfono ¿me dice si estoy en la BD?

Sí, te informo "Tu número está o no"

Pero entonces ¿sabes quien soy?

No, tu eres un anónimo que ingresa al sitio y tu número de móvil no significa nada para mí. Ya no hay registro ni relación entre el número de móvil y el la persona, porque los he eliminado.

Entonces ¿qué guardas si entro al sitio?

Nada, pero eres dueño de creerme o no, eres dueño de no usar el sitio, eres dueño de tus datos, pero parece que eso no te importó cuando se los regalaste a Facebook.

La página web ni siquiera cuenta la cantidad de visitas, no tiene publicidad, no guarda tu dirección IP, ni los números que ya se consultaron, no se utilizan un software de base de datos, solo se utilizan archivos de texto plano anonimizados.

Pero, de nuevo, eres dueño de creerme o no. Como dice al pie, sería bueno que te hicieras las mismas preguntas cuando te registras en servicios "gratuitos" en Internet.

¿Para qué lo haces?

Porque creo en concientizar a las personas y esta es una buena oportunidad para que todos aprendamos a administrar nuestros Datos Personales; explicar porqué Internet y las redes sociales son una herramienta invaluable, pero que no significa que debamos regarles nuestra vida, son empresas privadas y para ellos nuestros datos sí tienen un precio. Creo en ayudar desinteresadamente y entiendo la desconfianza, -que es adecuada y la comparto, porque también soy un paranoico- y, por eso también entiendo las preguntas anteriores y muchas otras.

Pero entonces, ¿qué ganas con esto?

Nada, son horas perdidas de desarrollo (durante un domingo de Pascuas), compilación de datos, anominización, publicación del sitio web, desarrollar esta FAQ, discutir con la gente que detrás de todo ve un interés personal o comercial. Son esas mismas personas que critican las que luego publican los enlaces con la base de datos completa para que te busques, porque es más confiable que hacerlo en un sitio "anónimo".

¿Vas a eliminar la información?

Sí, luego de los 10 días la página y los archivos serán eliminados.

Ahora, en serio ¿qué ganas?

Si llegaste hasta aquí he ganado.

¿Deseas sumar una pregunta? Déjala en los comentarios.