Por segunda vez en menos de una semana, una base de datos con información de usuarios de Facebook ha sido filtrada; llega después de que el pasado sábado se conociese la publicación de una base con los datos de 11 millones de usuarios españoles, 530 de todo el mundo.

Esta segunda filtración, revelada e investigada por Motherboard, tiene en común un aspecto vital: también permite encontrar los números de teléfono de las víctimas; por lo tanto, un atacante sería capaz de acosar, enviar spam o usar el teléfono para todo tipo de engaños.

Una primera revisión de los datos obtenidos en esta segunda filtración revela que son diferentes a la primera; y por lo tanto, más usuarios se han visto afectados de lo que se creía inicialmente.

Otra filtración de Facebook

Al igual que con la primera filtración, en este caso todo origina en un 'bot' en Telegram, la app de mensajería alternativa a WhatsApp. Los investigadores han comprobado que este bot presume de ser capaz de dar el número de teléfono de cualquier usuario, sólo con que este haya pulsado "Me gusta" en cualquier página de Facebook.

Para usar el bot, primero es necesario aportar el número de identificación de la página en cuestión; un dato que normalmente no se muestra públicamente, pero existen herramientas gratuitas en Internet que lo ofrecen al instante.

Una vez que se introduce el código, el bot presenta el coste en dólares de la información. El precio depende de lo popular que sea la página; si ha recibido miles de "me gusta", por ejemplo, el coste puede superar los cientos de dólares. En las pruebas, una página con 134.803 "me gusta" costó 539 dólares.

En cambio, el bot ofrece una opción gratuita si la página tiene menos de 100 "me gusta". Esta es una táctica habitual en muchos otros bots de Telegram, como el que desnuda a mujeres; es una manera de atraer usuarios que buscan información o contenido normalmente inaccesible, cobrando cuantiosas sumas cuanto más quieran.

Datos que se creían privados

El bot no es capaz de obtener los datos de todos los usuarios que han pulsado en "Me gusta" en la página, pero sí de una buena cantidad; en una página con 50 "me gusta", el bot obtuvo los datos de 10 personas. Además, el bot no es capaz de obtener datos de todas las páginas.

Pese a esa baja eficiencia, los datos parecen ser reales y han sido verificados. Los investigadores comprobaron que podían añadir a los usuarios a WhatsApp, y cuando llamaron, se encontraron con usuarios que no sabían por qué les estaba llamando un extraño. Estos usuarios no han hecho público su número de teléfono, por lo que, en teoría y según Facebook, no debería ser posible contactar con ellos directamente.

Más preocupante es que los números de teléfono obtenidos por los investigadores no se encuentran en la lista filtrada hace una semana; por lo tanto, no es que los creadores del bot hayan usado esa lista para ganar dinero fácil, sino que han obtenido otra base de datos de otra manera.

En estos momentos, no está claro si los números de teléfono se han obtenido con el mismo método de "scrapping" que Facebook explicó esta semana, y que ya ha sido prohibido por la red social; esa es la razón por la que Facebook se lavó las manos, y no avisó a los usuarios, aunque está por ver si tendrá la misma reacción ante esta investigación.