Por Redacción - 30 Enero 2020
La última pesadilla en publicidad y seguridad de Facebook le llega, por así decirlo, de prestado. En lugar de ser la protagonista absoluta del problema, es una suerte de culpable indirecta de las cosas, arrastrada por un fallo de seguridad en uno de sus partners (algo que no es exactamente nuevo: sus grandes problemas de reputación empezaron de un modo similar, con un escándalo en el que un tercero había usado sus datos y en el que Facebook había sido una suerte de intermediario sin saberlo).
Los cibercriminales acaban de usar Facebook y su red de publicidad para hacer el mal, aunque lo han hecho sin que la red social tuviese mucho que decir en la cuestión y empleando como plataforma para el proceso la cuenta de un tercero. Así lo acaba de desvelar Cnet, que ha destapado como los ciberdelincuentes se infiltraron en la red de publicidad de Facebook hackeando la cuenta de uno de los gestores de un partner publicitario.
Los ciberdelincuentes se hicieron con el control de la cuenta personal de un empleado de LiveRamp, uno de los principales partners en datos de la red social. El perfil hackeado era el de un business manager, por lo que con la cuenta los ciberdelincuentes se hicieron con el poder para lanzar anuncios e incluso para hacerlo sin tener que gastar su propio dinero. Tenían acceso a las cuentas de pago vinculadas al perfil profesional del business manager en cuestión.
Con ello, no solo accedieron a una cuenta para servir publicidad, sino también potencialmente a los amplios datos que la compañía tiene y a los perfiles de sus asociados. LiveRamp ha asegurado al medio estadounidense que el hackeo solo afectó a un "número limitado" de sus clientes y cuentas publicitarias asociadas y que el daño fue contenido.
El potencial daño, sin embargo, puede ser muy elevado, ya que LiveRamp es uno de esos gigantes que cuentan con muchos datos de partida sobre los consumidores para segmentar de forma eficiente la publicidad. Los cibercriminales pudieron acceder potencialmente a una cueva del tesoro de información sobre el mercado.
Los propios anuncios que lanzaron tenían de entrada mucho potencial para ser efectivos en su segmentación. Uno de ellos, según los datos de Cnet, dirigía a los consumidores que hacían clic a un site que robaba números de tarjetas de crédito y tuvo una audencia receptora de más de 60.000 visionados.
La historia es llamativa y problemática, no solo porque uno de sus socios se ha posicionado como motor de una infección sino porque muestra una tendencia al alza. Como recuerdan desde el medio estadounidense, esta no es la primera vez que ocurre algo similar. En noviembre, Cnet ya recogía el caso de un usuario de Facebook al que le habían hackeado la cuenta y desde la cual habían activado una campaña de 10.000 dólares promocionando un vídeo.
Facebook cerró la campaña antes de que terminase, pero lo hizo no porque fuese irregular sino porque se había llegado al límite de gasto de la tarjeta. Entonces, como alertaba una especialista en seguridad, Emily Wilson, vicepresidenta en Terbium Labs, ya se adelantaba que la tendencia a hackear cuentas particulares para lanzar campañas de anuncios ilegítimas iba a ir en aumento.
En el mes siguiente, Facebook denunció a una compañía china, a la que acusaba de haber lanzado una campaña de hackeo de perfiles publicitarios en la red social y de haberlos usado para gastarse 4 millones de dólares de forma fraudulenta en publicidad de falsificaciones y otros productos similares entre 2016 y 2019.
Para los cibercriminales el negocio es, en jerga emprendedora, un win win. Por un lado, no tienen que gastarse dinero en publicidad, ya que sus víctimas lo hacen por ellos (y no se arriesgan tampoco a que les cierren sus propias cuentas publicitarias). Por otro lado, hacen caja con el gasto de los consumidores que pican atraídos por los productos que venden. Y, como elemento extra, parten de una posición de ventaja: los anuncios salen sin problemas al mercado y empiezan a funcionar sin esperas porque lo hacen desde una cuenta que ya ha sido aprobada en el pasado.