El truco que revela tus secretos en Facebook

¿Qué tan protegidos están tus datos personales en Facebook? Con este desafío de seguridad podrás despejar dudas y hallarás toda la información sensible que pueden revelar tus hábitos en Facebook, incluso, si tus fotos están “ocultas” o si tu perfil está “protegido”. ¿Aceptas el reto?

Un poco de historia

En Marzo de 2013, Facebook presentó “Graph Search”, un motor de búsqueda semántico en lenguaje natural cuya finalidad era descubrir nuevas personas y cosas (lugares, páginas, intereses, grupos, etc.). Con Graph Search los usuarios de Facebook podían conocer, por ejemplo, cuál es el restaurant favorito o el dentista al que acuden sus amigos, o qué ciudades han visitado sus compañeros del colegio.

Normalmente, cuando utilizamos un buscador (Google, Bing, Yahoo) los resultados que aparecen son bastante similares; en Facebook no es así. Graph Search realiza una búsqueda dependiendo de las conexiones particulares de cada usuario y muestra resultados diferentes para cada persona, pudiendo acercar al usuario a lugares que no ha visitado o a personas que no conoce. El problema es que de igual forma, personas desconocidas pueden encontrar información sobre ti, como fotografías, ubicaciones, aplicaciones, intereses, e incluso, datos personales sensibles como creencias religiosas, orientación sexual, estados de salud, preferencias políticas, etc.

Por si esto fuera poco, Graph Search ofrecía una serie de filtros avanzados que permitían afinar una búsqueda con gran precisión segmentando perfiles por rangos de edad, género, lugar de nacimiento, lugares de estudio, lugar de trabajo y vínculos sentimentales y familiares.

De esta forma, podían hacerse búsquedas polémicas como:

• Personas solteras que tienen entre 25 y 30 años que viven en mi ciudad y les gusta la cerveza.
• Hoteles que visitan hombres casados que les gusta la página Ashley Madison (sitio de citas).

Pero también búsquedas que podrían poner a personas en una situación muy riesgosa y vulnerable, por ejemplo:

• Hombres interesados en hombres que viven en Irán
• Lugares donde trabajan personas que han viajado a Paris y les gusta Louis Vuitton

Con Graph Search podías buscar fotos de tus amigos (o personas desconocidas) aunque estuvieran “ocultas de la biografía”. Los resultados eran mucho más extensos que los mostrados en la forma habitual de ir al perfil y seleccionar “Fotos”; era posible obtener cientos de imágenes que los usuarios habían comentado, marcado con “me gusta” o donde estuvieran etiquetados. También permitía obtener información sobre los grupos a los que pertenecía el usuario y todas las aplicaciones que usa en Facebook.

En varias pruebas realizadas a perfiles aleatorios de personas que no estaban agregadas como amigos, buscamos de forma tradicional en la sección “Fotos” en sus perfiles, encontrando de 3 a 5 fotos. Utilizando Graph Search se obtuvieron más de 200 fotos de los mismos perfiles sin necesidad de ser amigos o enviar solicitud de amistad.

Resultados básicos vs resultados con Graph Search

Graph Search era sin duda un proyecto muy innovador pero pronto comenzaron a surgir preocupaciones sobre privacidad y si Facebook podía garantizar que esta nueva herramienta no pusiera en riesgo la intimidad de las personas.

En Diciembre de 2014, se lanzó una actualización a Graph Search, permitiendo ahora realizar búsquedas directamente en las publicaciones (post) de los usuarios. Eventualmente, Graph Search pasó a ser sólo “Search” y de forma silenciosa Facebook descontinuó los filtros avanzados y las búsquedas en lenguaje natural de Graph Search.

Vectores de ataque

Aunque Facebook descontinuó el uso de Graph Search, no lo eliminó por completo; la mayoría de las búsquedas aún se pueden realizar. Las consultas más simples se pueden hacer directamente desde la barra habitual de búsqueda de Facebook, pero las consultas más avanzadas únicamente pueden hacerse ingresando los operadores de búsqueda de forma manual a través de una URL.

Si se analizan las direcciones URL que generaba Graph Search, podemos formar nuestras propias consultas avanzadas con varias de sus combinaciones originales.

Aunque la herramienta Graph Search fue creada para mejorar la usabilidad de Facebook, otras personas pueden hacer uso de esta herramienta para realizar ataques maliciosos que terminan en robo de información personal como fotografías, correos electrónicos y perfiles de usuarios segmentados, esto es, perfiles que contienen criterios de búsqueda tan específicos como:

“Hombres nacidos entre 1970 y 1980 que trabajan en el Gobierno de Chile y que les gusta jugar al póker”

Trabajadores del Gobierno de Chile

Con ayuda de la información proporcionada por Graph Search, un atacante puede generar una lista de personas muy específicas para lanzar un spearphishing, que es una forma modificada de un ataque de phishing, donde al objetivo (un individuo o grupo pequeño de personas) se le envían mensajes  sobre un tema de su especial interés, teniendo con ello mayor posibilidad de éxito.

Con los resultados de Graph Search, personas malintencionadas pueden obtener datos suficientes que abren la puerta a ciberdelitos como robo de identidad y extorsión, o mejorar sus oportunidades de ataques por ingeniería social.

El truco

Ahora que sabes qué es y cómo funciona Graph Search es hora de ponerlo en práctica realizando una prueba para conocer toda la información que tu perfil de Facebook comparte con el mundo.

Lo primero que hay que hacer es dirigirse al perfil de Facebook que se quiere analizar (puede ser el tuyo o de alguien más, no necesitan ser amigos) y copiar la URL desde la barra de direcciones del navegador web. La URL debe ser algo como:

• https://www.facebook.com/JuanLopez
• https://m.facebook.com/carolina.sanchez45
•  https://www.facebook.com/profile.php?id=24353623

URL del perfil de Facebook

Después hay que obtener el ID de usuario (un número que utiliza Facebook para identificar de forma única cada perfil). Para eso puedes usar alguna página como findmyfbid.com, findfacebookid.com o buscarlo manualmente desde el código fuente de la página: presiona Ctrl+U desde el navegador y copia la secuencia numérica delante de “fb://profile/”.

Para facilitar el trabajo de generar las URL de Graph Search pega el ID de usuario en el campo de abajo y presiona el botón de la búsqueda que deseas realizar. Se abrirá una nueva ventana con los resultados.

Lo verdaderamente escalofriante es cuando realizas esta prueba para buscarte a ti mismo pero desde un perfil de alguien que no es tu amigo, eso te dará una idea de la cantidad de información que tienes expuesta y al alcance de prácticamente cualquier persona.

GRAPH SEARCH

Si algo no funciona comprueba lo siguiente:

• Debes tener tu sesión iniciada en Facebook.
• Si no puedes obtener tu ID de usuario ingresa a www.facebook.com/profile.php y copia la URL que aparecerá en tu navegador.
• Si no obtienes ningún resultado, configura el idioma de tu Facebook a Ingles (Estados Unidos).
• Si obtienes el mensaje “We couldn’t find anything” o “No encontramos ningún resultado” felicidades! Significa que Facebook no tiene ningún dato tuyo sobre esa categoría.

Contramedidas

Resulta impactante cómo una herramienta tan simple puede resultar tan peligrosa a la vez. Aun cuando hayas configurado fotografías con la opción “ocultar esta foto de mi biografía”, estas permanecen visibles gracias a Graph Search. Con tan solo haber realizado un comentario o dado un Like a alguna fotografía, esa evidencia es fácil de localizar.

Debido a las críticas a esta herramienta, Facebook lanzó un video donde explica aspectos sobre cómo funciona la privacidad en Search:

“Recuerda, tú tienes el control de lo que tus amigos pueden ver cuando usan Search, nadie puede ver cosas que no han sido compartidas con ellos”.

Sin embargo, Facebook no se esfuerza por aclarar que aun cuando decidas “ocultar” alguna foto o publicación, estos seguirán siendo visibles para cualquier persona si su configuración es pública.

La forma para evitar que Graph Search muestre alguna foto es verificando que su configuración de privacidad esté definida como “Solo Yo” o “Amigos”, si está como “Público” seguirá siendo visible y localizable.

Si la foto no es tuya o está en algún grupo o página pública resulta más complicado, pues debes eliminar tu etiqueta de ella, asegurarte que no le has dado “Like” y que no contenga ningún comentario tuyo.

Si los grupos a los que perteneces son públicos éstos aparecerán en las búsquedas de Graph Search, la única forma de ocultarlos es pidiendo al administrador que haga el grupo privado. La importancia de los grupos a los que perteneces es que fácilmente pueden identificar tus hobbies, afiliaciones políticas, creencias religiosas, miembros de tu familia, etc.

Conclusiones

Si bien en un sentido estricto las búsquedas avanzadas y filtros de Graph Search no son una vulnerabilidad, sí podemos considerarle como una herramienta que puede ayudar a un atacante a obtener acceso a datos personales de los usuarios y con ello facilitar potencialmente la comisión de ciberdelitos.

Las restricciones específicas de acceso a los datos que Facebook ofrece no son claras, pues la acción de “ocultar” una foto de la biografía no necesariamente significa que la foto estará oculta de Facebook. Para algunos usuarios “ocultar la foto” puede significar que al realizar esa acción la fotografía ya no podrá ser vista por otras personas, cuando en realidad la foto seguirá siendo visible con herramientas como Graph Search.

Tú tienes el control de tu privacidad. Para proteger tu información personal utiliza las opciones de privacidad y asegúrate de revisar regularmente las publicaciones donde se te etiqueta.

Ahora que conoces el potencial de la información que publicamos en las redes sociales puedes responder nuevamente la pregunta inicial: ¿qué tan protegidos están tus datos personales en Facebook?