(Actualización): Facebook podría enfrentarse a una multa europea de 1.600 millones de euros por incumplimiento de datos.

Tras el ataque a la seguridad de Facebook, anunciada el pasado viernes, la Unión Europea podría multar a la compañía por violación del estricto nuevo conjunto de reglas establecidas por el Reglamento General de Protección de Datos de la UE o GDPR.

La comisión de protección de Datos de Irlanda, principal regulador de privacidad de Facebook en Europa, dijo el sábado que ha exigido más información de la empresa sobre la naturaleza y la escala de dicha violación, incluidos los residentes de la UE que podrían verse afectados.

Si durante esta semana has tenido que reiniciar sesión en tu cuenta de Facebook y te ha parecido raro porque, en su día, habías dado permiso a tu navegador para que guardara tus datos, ahora sabrás por qué ha sido.

El pasado martes, Facebook se percató de una vulnerabilidad que puso en riesgo las cuentas de 50 millones de personas, incluidos el presidente ejecutivo de Facebook Mark Zuckerberg y su director de operaciones Sheryl Sandberg. La brecha de seguridad había estado expuesta durante más de un año, cuando la compañía introdujo un cambio en el módulo de subir vídeos.

La compañía reveló que los hackers podían acceder a las cuentas privadas de Fb y, por ello, la compañía se vio obligada a cerrar sesión de 90 millones de cuentas.

En dos conferencias de crisis el pasado viernes, Fb reveló que había avisado al FBI cuando fueron conscientes de que habían sido víctimas de un ataque “importante”. Al robar los tokens de acceso (claves digitales que permiten a los usuarios iniciar sesión sin ingresar sus contraseñas en todo momento) los hackers se hacen cargo de las cuentas y pueden usarlas como si fuesen ese usuario, pudiendo ver fotos, leer mensajes y demás información privada. Además, algunas cuentas de Instagram u otras vinculadas a FB para poder iniciar sesión a través de la app, también pudieron verse afectadas pero, en este caso, Whatsapp no se vio comprometida.

De acuerdo con el comunicado de prensa de Facebook publicado en su blog, la vulnerabilidad se encontraba en la opción de “Ver como”, acción que permite ver a un usuario su perfil como si fuera otra persona, y fue donde el atacante aprovechó para robar los tokens de acceso a Fb para hacerse cargo de las cuentas de las personas. Desde Fb han comunicado que no es necesario que nadie cambie sus contraseñas, con volver a iniciar sesión es suficiente y seguro.

“Facebook es un gran objetivo para los estados nación y, dada la proximidad de las elecciones a mediano plazo en los Estados Unidos, esto podría ser un regalo para los piratas informáticos”, dijo Atkinson, director ejecutivo de la compañía de seguridad cibernética Senseon. “No nos hagamos ilusiones, ya se ha demostrado que Facebook es una fuente de inteligencia para estados extranjeros”.

YouTube y los tutoriales para hackear cuentas de Fb

Por otro lado, y desde este nuevo ataque a Fb, en YouTube podemos encontrar tutoriales (algunos de los cuales ya han sido eliminados por Google), explicando como hackear perfiles de Fb robando “tokens de acceso”, y ya han sido vistos miles de veces.

El jefe de política de ciberseguridad de Facebook comunicó a Telegraph que estaba “al tanto de ciertos vídeos que describen diferentes elementos del ataque” y que la compañía estaba “investigando estos para asegurarse de que las cuentas de las personas estén protegidas”.

Un compañero de seguridad cibernética en el Atlantic Councill dijo a Telegraph: “Yo diría que los 50 millones son tal vez la punta del iceberg”. “No es raro tener múltiples adversarios a lo largo del tiempo, que varían en sofisticación, y es simplemente el más torpe que alerta a los guardias del palacio”.

Este ataque podría haberse llevado a cabo por equipos organizados o agencias de inteligencia del estado, con la intención de hackear cuentas específicas pertenecientes a políticos o jefes de empresas, mucho antes de que Fb detectara ataques menos sutiles.

Respecto a los vídeos de YouTube, un portavoz de Google dijo que eliminará los vídeos que fomenten actividades ilegales de pirateo de cuentas o sitios con ‘intenciones maliciosas’ y revisará cuidadosamente el contenido publicado.