Un 'hacker' pone a la venta datos de 500 millones de usuarios de LinkedIn

La información no incluye contraseñas pero sí experiencia laboral y formación académica

La información recogida es pública, pero las redes previenen el vaciado automático de datos
2 min

Barcelona"Un precio mínimo de cuatro dígitos". Esto es lo que reclamaba el autor de un hackeo a LinkedIn, en un portal dedicado a la piratería, a cambio de dar la información sensible de 500 millones de usuarios de esta plataforma social centrada en el ámbito profesional. Entre los datos que se ponen a la venta están el nombre, el teléfono, el correo electrónico, los currículums académicos y la experiencia laboral declarada de los miembros de la comunidad. La noticia llega pocos días después de que Facebook también sufriera un ataque cibernético que se saldó con la aparición de datos de 533 millones de usuarios en un foro dedicado también a la piratería, pero en este caso se ofrecían de manera gratuita.

Según una portavoz de la compañía, citada por eldiario.es, LinkedIn está investigando el asunto pero cree que "el conjunto de datos publicados parece incluir información visible públicamente que fue extraída de LinkedIn combinada con datos agregados de otros lugares web o empresas". Los miembros de esta red pueden escoger qué parte de su perfil es pública para la audiencia general y qué parte queda reservada solo para los otros usuarios, o específicamente para aquellos con los que se haya aceptado una interacción.

Las redes sociales han adoptado medidas de seguridad para prevenir que algún usuario recopile masivamente los datos de los usuarios, aunque sean los públicos. Pero algún agujero en el sistema de protección es lo que, aparentemente, ha permitido que el hacker haya creado de manera automatizada y sistemática una base de datos con los datos de estos centenares de millones de usuarios. La técnica se conoce en inglés como scraping y si bien no permite acceder a contraseñas, mensajes privados o números de tarjeta, el hecho de exponer números de teléfono y correos electrónicos puede favorecer sufrir ataques más específicos y dirigidos.

Para demostrar la genuinidad de los datos, el pirata informático ha puesto a la venta también un segundo paquete, en este caso valorado en dos dólares, con los datos de dos millones de usuarios. El portal Cybernews, aun así, pone en entredicho la vigencia de los datos. "El autor de la publicación afirma que los datos fueron scrapeados de LinkedIn. Nuestro equipo de investigación ha podido confirmarlo analizando las muestras proporcionadas en el foro de hackers. Pero no queda claro si el autor del ataque está vendiendo perfiles actualizados de LinkedIn o si son datos cogidos o agregados de una brecha anterior, sufrida por LinkedIn u otras empresas".

El valor de estos datos es siempre relativo y, en todo caso, se devalúa rápidamente una vez empieza a circular. En el caso de la filtración de Facebook, si se colgó gratuitamente es porque anteriormente había estado dando vueltas durante como mínimo dos años en foros de piratas, buscando comprador.

Este no es el primer ataque que sufre LinkedIn: en 2012 el hacker Yevgeny Nikulin consiguió robar cerca de 6,5 millones de contraseñas. Los afectados perdieron la capacidad de entrar en sus perfiles. Cuatro años después, se descubrió que, además, se habían cogido los correos y contraseñas de 100 millones de usuarios más. El pirata informático fue detenido en octubre de 2016 en Praga y la justicia de los Estados Unidos lo condenó a 88 meses de prisión.  

stats