Conclusiones clave
- Meta ha ampliado su programa de recompensas por errores para fortalecer su plataforma y a los usuarios contra los rastreadores de datos.
- El raspado de datos ha llevado a los piratas informáticos a acumular información de más de 300 millones de usuarios en el pasado.
-
Meta afirma que es el primero en recompensar a los investigadores por su ayuda para dominar el raspado de datos.
¿Le sorprendería saber que los programas automatizados barren las plataformas de redes sociales como Facebook para recolectar cualquier información de acceso público y recopilarla dentro de las bases de datos? Es posible que la información individual no sea de mucha utilidad, pero juntas pueden permitir que los piratas informáticos perpetren todo tipo de delitos digitales, como robos de credenciales y ataques de phishing. Y Meta ya ha tenido suficiente.
Si bien la propia red social toma medidas para detectar y reducir estos programas automatizados llamados raspadores, la plataforma ahora ha decidido contar con la ayuda de investigadores de seguridad independientes mediante la expansión de sus programas de recompensas por errores. Su objetivo no es solo corregir los errores que filtran esos detalles sobre sus usuarios, sino también ayudar a encontrar esas bases de datos que contienen información extraída.
"El programa de recompensas por errores ayudará a llenar los vacíos en las defensas de Facebook contra el raspado y alertará a Meta sobre las bases de datos raspadas que aparecen en la web", Paul Bischoff, defensor de la privacidad y editor del medio de investigación de Infosec Comparitech, le dijo a Lifewire por correo electrónico..
La amenaza de raspar
Meta se refirió al scraping como un "desafío en todo Internet" al anunciar la expansión de su programa de recompensas por errores, que inicialmente se diseñó para encontrar fallas de software en el código que alimenta la plataforma.
Según Bischoff, muchas plataformas han prohibido el uso de raspadores, incluso para la información que contienen y que es de acceso público. Esto se debe a que la información de identificación personal (PII), como nombres de usuario, fechas de nacimiento, direcciones de correo electrónico y ubicación, suele ser utilizada por malos actores para dirigirse a los usuarios en campañas elaboradas de ingeniería social.
El programa de recompensas por errores ayudará a llenar los vacíos en las defensas de Facebook contra el raspado y alertará a Meta sobre las bases de datos raspadas…
Sin embargo, Bischoff agrega que Facebook ha tenido problemas para distinguir entre los raspadores y los usuarios legítimos, lo que ha resultado en grandes filtraciones de datos en el pasado. Señala específicamente la filtración que surgió en marzo de 2020 cuando Comparitech se asoció con el investigador de seguridad Bob Diachenko y descubrió una base de datos que contenía las identificaciones de usuario y los números de teléfono de más de 300 millones de usuarios de Facebook.
Pero el scraping no es completamente ilegal; en el mejor de los casos existe en un área gris tecno-legal ya que también tiene usos legítimos.
"Aunque el scraping va en contra de los términos de uso de Facebook, no es estrictamente ilegal. Algunas operaciones de scraping son maliciosas, pero otras son académicas o periodísticas", aclaró Bischoff.
Se busca DOA
En su anuncio de la expansión del programa de recompensas por errores, Facebook mencionó que, desde su inicio, la iniciativa de recompensas por errores había otorgado más de 800 recompensas, por un total de más de $2,3 millones, a investigadores de más de 46 países. Abordar "nuevos desafíos", como el scraping, era una extensión natural del programa.
Aunque el raspado va en contra de los términos de uso de Facebook, no es estrictamente ilegal.
Según Meta, el programa ampliado de recompensas por errores recompensará a los investigadores de seguridad en dos frentes.
One, como parte de su estrategia de seguridad más amplia para hacer que el raspado sea más difícil y "más costoso" para los actores de amenazas, Meta otorgará informes sobre errores en su plataforma que los malos actores pueden explotar para eludir las barreras que ha erigido para disuadir el raspado.
En segundo lugar, la plataforma dijo que también premiará a los cazarrecompensas de datos que le informen sobre bases de datos desprotegidas disponibles en línea que contengan la PII extraída de al menos 100 000 usuarios únicos de Facebook.
"Si confirmamos que la PII del usuario se extrajo y ahora está disponible en línea en un sitio que no es Meta, trabajaremos para tomar las medidas adecuadas, que pueden incluir trabajar con la entidad pertinente para eliminar el conjunto de datos o buscar medios legales para ayudar a garantizar que se resuelva el problema", señaló Meta en el anuncio.
Agregó que si el raspado se debió a una mala configuración en la aplicación de un desarrollador externo, la plataforma trabajaría con el desarrollador para tapar la fuga. Por otro lado, también se esforzará por garantizar que el servicio de alojamiento donde los piratas informáticos alojaron la base de datos extraída la elimine.
Las recompensas por las recompensas de raspado comienzan en $500, y aunque los errores de raspado implican pagos monetarios, la información sobre las bases de datos raspadas se otorgará en forma de donaciones benéficas a organizaciones sin fines de lucro que elijan los reporteros.
"Hasta donde sabemos, este es el primer programa de recompensas por eliminar errores en la industria", resumió Meta. "Trabajaremos para abordar los comentarios de nuestros principales cazarrecompensas antes de expandir el alcance a una audiencia mayor".