Descubiertos 74 grupos de Facebook dedicados a la venta de datos de tarjetas de crédito robadas y otros productos
La falta de moderación de Facebook del mal comportamiento en el extenso mundo en línea que creó, junto con los trolls políticos, el contenido extremista y los actos de horrenda violencia transmitidos en vivo, ha recibido un torrente de críticas. Pero los investigadores han descubierto que el gigante de las redes sociales también está fallando en la vigilancia entre sus usuarios de un problema de Internet mucho más básico y antiguo: el simple ciberdelito.
Los investigadores de la división de seguridad Talos de Cisco revelaron el viernes que habían descubierto 74 grupos de Facebook dedicados a la venta de datos de tarjetas de crédito robadas, información de identidad, listas de correo no deseado, herramientas de piratería y otros productos de ciberdelincuencia.
Los investigadores dicen que esos grupos operan a simple vista, con nombres como Spam Professional y Spammer and Hacker Professional, que atraen en total a 385.000 miembros. Cualquiera podría encontrarlos en una búsqueda en el sitio de términos básicos como "carding" o "CVV", una referencia a los códigos de seguridad en el reverso de las tarjetas de crédito.
"Efectivamente, lo que encontramos fue una gran cantidad de grupos de Facebook que intercambian abiertamente cosas relacionadas con delitos en línea", dice Craig Williams, director de divulgación de Cisco Talos. "La base de usuarios en estos grupos es básicamente del tamaño de Tampa".
Las capturas de pantalla que Cisco compartió en una publicación de blog que resume sus hallazgos capturan a los usuarios de Facebook que publican fotos de tarjetas de crédito e ID supuestamente robados, ofreciendo listas de CVV con un precio de $ 5 cada una, así como colecciones de miles de correos electrónicos listos para el spam y el phishing, el tipo de datos que se venden generalmente en los mercados de sitios web oscuros o en foros de piratas informáticos solo con invitación, protegidos por contraseña. Williams dice que muchos de los usuarios que vio en esos grupos parecían estar haciendo negocios en los bazares de cibercrimen de Facebook bajo sus cuentas reales.
Y encontrar los grupos, dice Williams, no fue particularmente difícil: una vez que los investigadores de Cisco identificaron a algunos de ellos, el algoritmo de recomendación de Facebook les ofreció otros grupos con enfoques similares en el mercado negro.
Esta no es la primera vez que Facebook se enfrenta a este problema exacto. El año pasado, el reportero de ciberseguridad Brian Krebs identificó una recopilación de tamaño similar de grupos de ciberdelitos de Facebook, con un total de 300.000 miembros, y los informó a Facebook. Facebook prohibió esos grupos en ese momento, pero llevó menos de un año para que una población aún mayor de estafadores y piratas informáticos hicieran del sitio su casa.
Y aunque Facebook eliminó los grupos que Cisco identificó, luego de que los investigadores alertaron a la compañía sobre sus hallazgos, su limpieza sigue incompleta. En unos pocos minutos de búsqueda, WIRED encontró usuarios y grupos con nombres como Carder Philippines y Anonymous Carding India con información abierta de tarjetas de crédito, junto con lo que parecían ser objetos robados, como cámaras y iPhones comprados con cuentas de comercio electrónico secuestradas.
"Si ves 10 cucarachas y las matas, ¿ese es el fin de tu problema?", pregunta Williams. "Será muy difícil encontrarlos a todos, una vez que estos malos actores establezcan que les gusta su plataforma".
Un portavoz de Facebook escribió en una declaración a WIRED que "estos Grupos violaron nuestras políticas contra el spam y el fraude financiero y los eliminamos. Sabemos que debemos estar más atentos y estamos invirtiendo fuertemente para luchar contra este tipo de actividad".
Facebook agrega que la mayoría de los grupos eran bastante nuevos, creados solo en 2018. Y señala que ha prohibido las cuentas de los usuarios asociados con estos grupos y ha tomado medidas para evitar que los propietarios de esas cuentas creen nuevos grupos en el sitio.
Pero para los críticos de Facebook, los mercados de delitos informáticos que infestan el sitio son solo el último ejemplo de la negligencia de la compañía cuando se trata de moderar y vigilar a sus miles de millones de usuarios. Dipayan Ghosh, un ex miembro del personal de Facebook que ahora trabaja en el Platform Accountability Project del Harvard Shorenstein Center, lo ve como otra señal de que no se puede dejar que Facebook no se regule.
"Es ridículo, y simplemente demuestra que esta compañía opera con un conjunto de reglas que están atrasadas y son solo en su propio interés comercial", dice Ghosh. "Hasta y a menos que cambiemos las reglas del juego a través de una regulación imparcial, esto no va a parar".
Más específicamente, Ghosh dice que es hora de realizar cambios en la Sección 230 de la Ley de Decencia en las Comunicaciones, que protege a los sitios de redes sociales como Facebook de la responsabilidad por el contenido que comparten sus usuarios. "Creo que ha llegado el momento de repensar la 230, para hacer cambios que nos protejan mejor con respecto a nuestra seguridad y nuestra privacidad, incluida la protección de nuestras identidades", dice.
Facebook tiene la capacidad de eliminar de manera proactiva el comportamiento que encuentra inadecuado en su plataforma; recientemente, por ejemplo, instituyó una prohibición contra el contenido nacionalista blanco. También ha dejado en clara su intención de eventualmente cambiar su plataforma para priorizar las interacciones privadas y encriptadas, lo que potencialmente permitiría que los grupos de delitos informáticos operen bajo sus auspicios sin temor a ser detectados.
Pero el investigador de Cisco Talos, Craig Williams, sostiene que, por ahora, la única solución es que Facebook ajuste su moderación y que los usuarios y auditores externos lo hagan responsable. "Esto requiere un esfuerzo colectivo, de Facebook, de los usuarios y, potencialmente, de compañías de seguridad como nosotros, para mantener a estos actores fuera de los sitios de redes sociales", dice. "Va a requerir una vigilancia constante".