La cifra de cuentas hackeadas de redes sociales sigue creciendo, aunque a los afectados no parece importarles demasiado, porque el número de usuarios de dichas redes sociales también crece. No es extraño que Facebook ya ni se moleste en pedir disculpas por la filtración de datos.

En apenas una semana, los datos personales de 500 millones de usuarios de Facebook y 533 millones de usuarios de LinkedIn se venden al mejor postor en foros de ciberdelincuentes. Y hablamos de datos críticos como nombres y números de teléfono.

El mercado negro de datos personales está tan sobresaturado, que ya hasta los regalan. En un conocido foro de hackers ha aparecido un fichero para descargar de formar gratuita, que supuestamente contiene datos personales de 1,3 millones de cuentas de la red social de moda, ClubHouse.

ClubHouse es una nueva red social que ha llamado la atención porque es un chat solo de audio: ni vídeo, ni texto.

Pese a que solo se puede acceder por invitación y solo funciona en iOS, ya tiene más de 10 millones de usuarios. Y pese a no ser una red abierta, supuestamente los ciberdelincuentes se las han ingeniado para hackear 1,3 millones de cuentas de ClubHouse.

La web de seguridad CyberNews ha descubierto en un conocido foro hacker un fichero que supuestamente contiene los datos personales de 1,3 millones de cuentas de ClubHouse:

ClubHouse hackeo

Han estado examinando el contenido del archivo y, efectivamente, se trata de una base de datos en SQL que contiene datos de más de un millón de cuentas. No pueden confirmar que se trate de cuentas de ClubHouse, eso solo puede hacerlo la propia compañía, que de momento no ha emitido ningún comunicado ni ha respondido a las peticiones de información de los medios.

Los datos incluidos en el supuesto hackeo de CloudHouse no son críticos, ya que no hay datos como teléfonos o tarjetas de crédito. Pero sí son preocupantes porque se pueden usar para preparar ataques de phishing, para suplantar la personalidad, o para cruzarlos con los datos de otros hackeos y crear perfiles más precisos de una persona.

Estos son los datos filtrados:

  • Código de identificación del usuario
  • Nombre real
  • Foto de perfil
  • Nombre de usuario
  • Nombre de usuario de Twitter
  • Nombre de usuario de Instagram
  • Número de seguidores
  • Número de gente a la que sigues
  • Fecha de creación de la cuenta
  • Usuario que te invitó a ClubHouse

Como vemos, hay datos que se pueden usar para crear ataques de phishing en donde un correo o un mensaje en Twitter o Instagram te llame por tu nombre real y se haga pasar por ClubHouse o por otro usuario que te conoce en ClubHouse.

Los ciberdelincuentes acostumbran a cruzar datos de diferentes hackeos a diferentes redes, sabiendo que la mayoría de la gente usa los mismos nombres y claves en distintas redes sociales, para obtener acceso real o personalizar aún más un ataque de phishing. Por eso siempre hay que usar nombres y contraseñas diferentes en cada red social.