Filtración de LinkedIn expone datos de 700 millones de usuarios

Recientemente, LinkedIn sufrió una filtración de datos que expone a 700 millones de usuarios. Emmanuel Robles, Coordinador de la Maestría en Ciberseguridad, escribe sobre los hechos. ¿Cuál es el diagnóstico? ¿Qué precauciones habría que tomar ante esta situación?

El pasado 22 de Junio, PrivacyShark reportó un gigantesco filtrado de datos personales desde la plataforma de LinkedIn, conocida por ser el líder en contactos profesionales. La información de más de 700 millones de usuarios fue expuesta y actualmente se ofrece por los hackers en foros de la Dark Web. Este número equivale a más del 92% de su base de 756 millones.

Filtración de LinkedIn expone datos de 700 millones de usuarios

La información robada

Los responsables ofrecieron una prueba de la información robada de un millón de usuarios, incluyendo nombres completos, teléfonos, direcciones, educación, ubicación geográfica, salarios reportados y estimados, URL de su perfil, fotografía, publicaciones, experiencia, antecedentes personales, relaciones profesionales y recomendaciones, género; y otras cuentas de redes sociales, junto con sus nombres de usuario en ellas.

Tras exhaustivos análisis por parte de RestorePrivacy, se encontró que, no solo los datos eran reales, sino que además estaban actualizados, por lo que la información había sido conseguida de manera reciente.

Peligros de esta filtración

El hecho de que datos personales estén al alcance de cualquier persona lleva de la mano un sinfín de problemas de seguridad en potencia. El más importante de todos, por mucho, es la suplantación de identidad, pues con toda esta información es muy fácil hacerse pasar por alguien más. Al usar ingeniería social y suplantar una identidad, el problema de seguridad se ramificará indefinidamente.

Además, se necesita recalcar el hecho de que, al ser información profesional confidencial, puede desencadenar muchos problemas internos en las empresas cuyos empleados fueron víctimas. Por ejemplo, al comparar sueldos entre empleados de puestos similares, descubriendo posibles relaciones con otras empresas que se mantenían en secreto, o sacando a la luz discrepancias de remuneración entre géneros.

No obstante, el mayor peligro de todos reside en que apenas en febrero de este año, se llevó a cabo una filtración similar. Si bien se consideró de menor escala, esta ascendió a “solo” 500 millones de registros. Esto da mucho que pensar acerca de la cantidad y tipo de información que subimos a una plataforma que claramente no está teniendo las suficientes medidas de seguridad.

La API, puerta de entrada

Hoy en día, la mayor parte de las plataformas cuentan con una API, un cierto lenguaje con el cual un tercero puede comunicarse con ellas, por ejemplo, para juegos en Facebook, o publicaciones automatizadas en Ebay. En este caso, la API con fallos de seguridad de LinkedIn fue la responsable del robo de los datos. Al hacer uso de una enorme serie de consultas a su base de datos, se logró acceder a la información de la mayor parte de los usuarios.

Cabe aclarar que las contraseñas de las cuentas de la plataforma no se encuentran entre la información ofrecida. Aunque por el tipo de ataque es difícil que el atacante cuente con ellas, esto no es una garantía de que así sea.

Esto fue comunicado por el mismo responsable de la filtración, pero aunque no ha revelado exactamente qué características de la API utilizó en el ataque, el equipo de la plataforma se encuentra haciendo un análisis forense para encontrar la metodología usada, y corregirla a la brevedad.

Aún así, la comunicación oficial por parte de la empresa es ambigua y hasta un poco desconcertante:

“Todavía estamos investigando este problema, pero el análisis inicial muestra que el conjunto de datos contiene información recopilada de LinkedIn e información recopilada de otras fuentes. Esta no es una violación de datos de LinkedIn, y las investigaciones han determinado que los datos personales de los miembros de LinkedIn no se divulgan. La minería de datos de LinkedIn viola nuestros Términos de Servicio y trabajamos constantemente para proteger la privacidad de nuestros miembros.”

A mi parecer, no es relevante si el hecho de obtener datos de esa manera vaya o no en contra de los Términos de Servicio, pero sí que deberían existir medidas para prevenir este tipo de situaciones.

Tomando precauciones

Una vez más, invito a todas las personas a extremar precauciones, ya que incluso a estas alturas se han reportado cientos de ataques de suplantación de identidad, con mensajes del tipo “Soy (nombre de la persona), me hackearon mi cuenta de LinkedIn pero necesito que me envíes información de…”.

Lo ideal en estos casos es de comunicarnos con la persona en cuestión por otros canales, y asegurarnos de no compartir información sensible con terceros.

¿Buscas aprender de Ciberseguridad en una Universidad en línea? ¿Estás interesado en aprender a combatir ataques cibernéticos? ¿Quieres aprender de seguridad informática en línea? ¿Te interesa comenzar tus estudios en línea en una Universidad Virtual de calidad académica?

Te invitamos a conocer nuestra oferta académica de Maestría en Ciberseguridad en línea.

Ponte en contacto con nosotros, conoce nuestro proceso de admisión a nuestra institución educativa y recibe nuestro plan de estudios por correo electrónico. Contamos con validez oficial ante la SEP (Secretaría de Educación Pública).

Contamos con modelos de educación en línea y educación a distancia, como también modalidad presencial para nuestras Maestrías, Licenciaturas e Ingenierías.

Este es el momento de estudiar una Maestría en línea con una modalidad de estudio abierta y distancia. ¡Te invitamos a conocer nuestras Maestrías y Licenciaturas en línea!