Una laguna en el mecanismo de focalización publicitaria de Facebook podría haber permitido a los atacantes obtener los números de teléfono de los usuarios luego de visitar los sitios web controlados por los atacantes, reveló un grupo de profesionales de la seguridad de la información en un documento presentado la semana pasada.
Facebook, otorgó a los investigadores en su programa de bug bounty hasta $5,000 USD, desde entonces ha tomado medidas para frustrar ataques similares, y ni la compañía ni los investigadores de seguridad de la información dicen que tienen alguna evidencia de que la técnica alguna vez se usó maliciosamente.
El ataque potencial, presentado por investigadores de seguridad de la información de Northeastern University e instituciones en Francia y Alemania en PrivacyCon de la Comisión Federal de Comercio, explota la forma en que Facebook permite a los anunciantes orientar los anuncios a audiencias personalizadas. Esos se pueden construir en función de los intereses de los usuarios, las visitas a un sitio web en particular, direcciones de correo electrónico, números de teléfono u otros factores conocidos por la empresa de redes sociales.
Facebook y otras redes sociales les permiten a los anunciantes un grado de libertad esencialmente inigualable al dirigir mensajes de forma automática a personas determinadas en función de sus intereses y características demográficas. Pero esas políticas de publicidad liberal han sido criticadas en los últimos años, y los críticos dicen que permitieron todo, desde la discriminación racial y el discurso de odio hasta la subrepticia propaganda rusa.
En este caso, aunque el sistema no permite que los anunciantes aprendan las identidades de los usuarios según la información que no publican, los investigadores se dieron cuenta de que las audiencias publicitarias se basaban en la combinación de diferentes factores, por ejemplo, una lista de números telefónicos y una lista de direcciones de correo electrónico: solo incluiría a cada usuario una vez. Eso significaba que la cantidad de usuarios en una audiencia ingeniosamente desarrollada podría revelar si ese par de listas tenía algún duplicado, lo que indicaría que un número de teléfono de uno y una dirección de correo electrónico de otro pertenecían al mismo usuario.
Aunque Facebook no proporcionó explícitamente el número exacto de coincidencias, y redondeó el número total de personas en la audiencia combinada, los científicos esencialmente descubrieron que podían detectar si agregar un par de identificadores potencialmente pertenecientes al mismo usuario causaba el total redondeado número de partidos para aumentar, lo que indica una coincidencia.
La compañía respondió inicialmente suprimiendo las estimaciones de tamaño para las audiencias creadas con múltiples conjuntos de información, como direcciones de correo electrónico y números de teléfono, según el periódico. Posteriormente, la compañía restauró parte de la información luego de tomar otras medidas de seguridad, dijo un vocero.
“Agradecemos a los investigadores en seguridad de la información que nos señalaron este problema”, dice un portavoz de Facebook. “No vimos ningún abuso de esta técnica compleja, y hemos restaurado la estimación del alcance de forma limitada ahora que hemos agregado las salvaguardas adecuadas contra posibles abusos”. Anteriormente, Facebook anunció otros cambios en sus mecanismos de orientación de anuncios para bloquear otros tipos de abuso.
Después de que el consultor de seguridad de la información descubriera en 2010 que los publicistas furtivos podían orientar los anuncios a usuarios particulares y potencialmente extraer datos privados sobre ellos, la compañía tomó medidas para que eso sea imposible. El otoño pasado, después de que un experto en seguridad de la información descubriera que la red social permitía a los anunciantes dirigirse a personas con intereses explícitamente racistas.
“El hecho de que incluso se ofrecieran términos odiosos como opciones fue totalmente inapropiado y fracasó por nuestra parte”, escribió la jefa de operaciones Sheryl Sandberg en ese momento. “Los eliminamos y, cuando eso no fue totalmente efectivo, desactivamos esa sección de orientación en nuestros sistemas de anuncios”.
El enfoque general de Facebook de mostrar anuncios solo a usuarios que cumplen ciertos criterios también ha sido criticado por dificultar que personas externas sepan qué mensajes pagos se están entregando a través de la red.
Facebook ha agregado trabajadores para revisar anuncios, así como herramientas para que sea más fácil ver qué anuncios está ejecutando una página en particular en la red. “Para proporcionar una mayor transparencia para las personas y la responsabilidad de los anunciantes, ahora estamos creando nuevas herramientas que le permitirán ver los otros anuncios que una página también está ejecutando, incluidos los anuncios que no están dirigidos a usted directamente”, escribió Joel Kaplan, vicepresidente de política pública global, en octubre.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
