UNIVERSIDAD DON BOSCO

FACULTAD DE INGENIERÍA

MAESTRÍA EN SEGURIDAD Y GESTIÓN DE RIESGOS INFORMÁTICOS

Asignatura

SEGURIDAD EN ENTORNOS CLOUD

Investigación

ATAQUE A FACEBOOK 2019

Docente

Mg. Leonel Maye

Presentado por

José Reynaldo Trejo Valdez

Juan José Alas Castillo

Horacio Aquiles Quiteño Gutiérrez

Antiguo Cuscatlán, 25 de Julio de 2021

Tabla de contenido
Introducción .................................................................................................................. 1

Identificación de fallos principales ................................................................................. 2

Controles Propuestos (ISO 27001) .................................................................................. 3

Conclusión ..................................................................................................................... 6

Bibliografía ................................................................................................................... 7
Introducción

En el presente documento se detalla como ocurrió el filtrado de información que

comprometió la información de los usuarios de Facebook tales como nombre de

usuario, teléfono celular, genero de los mismos, este debido a la falta de medidas

de seguridad de los sistemas de bases de datos y auditorias periódicas que

identifiquen estos riesgos. A la vez se proponen medidas para establecer controles

que permitan garantizar la seguridad de la información de los usuarios

resguardando la credibilidad de la empresa.

1
Identificación de fallos principales

En 2019 se descubre un ataque a las bases de datos de usuarios de Facebook, en

el cual se filtran los facebookID, números telefónicos y datos personales de 419

millones de usuarios de la red social; estos datos como el numero de teléfono

estaban privados al publico general desde el 2018.

Catalogar este incidente como un ataque es un poco ingenuo, comenzando por los

problemas de seguridad mostrados desde la misma empresa, prácticamente esta

información se resguardaba en un base de datos de manera implícitamente

“pública” (sin ningún tipo de restricción a la red) y al estar pública, en un servidor de

base de datos sin ningún tipo de control de acceso ni contraseña; es decir, cualquier

persona que conociera la ubicación de dicha base de datos podía acceder a la

información ahí almacenada.

Los registros en cuestión no solo se limitan a los números de teléfono e

identificadores de usuario de Facebook, sino que incluyen entre otros: nombre de

usuario, país y genero de los usuarios.

Además, sumado que la información no contaba con ninguna clase de restricción

de acceso la información se almacenaba en datos planos lo que, por consiguiente,

permitía cualquier persona que acceder a la base de datos a tener claramente una

visión de los datos que ya estaban almacenados, ya que no se utilizó ninguna

solución criptografía para resguardar esa información.

CAUSA PRINCIPAL: Ausencia de control de acceso en el servidor y/o base de

datos de información de usuarios.

2
Controles Propuestos (ISO 27001)

Como grupo se ha tomado a bien considerar los siguientes controles propuestos por

la norma ISO 27001 que hubiesen permitido resguardar de una manera más

controlada y segura los activos de información que fueron puestos en riesgo por

parte de la empresa Facebook y sus usuarios.

Código Control Actividades

ISO 27001

a.8.3.3. Medios que contengan • Implementar procedimiento de

información deben ser cifrado para unidades de
protegidos contra acceso no almacenamiento de información.
autorizados, mal uso o • Segregar accesos
corrupción durante su • Implementar mecanismos de
transporte. seguridad para el transporte seguro
de la información.

a.9.1.1. Se debe establecer, documentar • Elaborar una política de control de

y revisar una política de control accesos.
de acceso basada en los • Elaborar un procedimiento periódico
requerimientos de seguridad de para la certificación de accesos.
la información y del negocio. • Implementar mecanismo para el
monitoreo de accesos.

a.9.1.2. Se debe proveer a los usuarios • Elaborar un procedimiento para el

únicamente con acceso a la red
y servicios de red que hayan sido •
específicamente autorizados.
control de accesos a la red.
Elaborar un procedimiento que
detalle los niveles de autorización
para la asignación de accesos a la
red.

3
 • Desarrollar un procedimiento para el
monitoreo de la red.

a.9.2.1. Para habilitar la asignación de • Elaborar un procedimiento para alta

derechos de acceso se debe y baja de usuarios en los sistemas,
implementar un procedimiento el cual debe de contar con niveles
formal para la creación y de aprobación y en cobertura de
anulación de usuarios. todos los sistemas.

a.9.4.2. Cuando así́ se requiera en la • Establecer procedimientos y

política de control de acceso, el
acceso a los sistemas y a las •
aplicaciones se debería controlar
por medio de un procedimiento
seguro de inicio de sesión.
políticas de contraseñas seguras
Proteger entradas de contraseñas
contra ataques de fuerza bruta y/o
diccionario así como inyecciones

a.10.1.1. Se debería desarrollar e • Elaborar una politica criptográfica.

implementar una política sobre el • Clasificar la información para
uso de los controles asignar el control criptográfico
criptográficos para proteger la necesario.
información. • Usar cifrado en informacion sensible
transportada.

a.11.1.1. Se deberían utilizar perímetros • Clasificar las áreas y definir

de seguridad para proteger las
áreas que contienen información •
sensible así́ como los recursos
de tratamiento de la información. •
perímetros seguros
Establecer los requisitos de
seguridad según área y aplicarlos
Registrar y auditar los accesos
físicos

a.13.2.4. Se deben identificar, revisar • Definir acuerdos, penalidades o

periódicamente y documentar contratos de uso de información
los requerimientos para confidencial de la organización
acuerdos de confidencialidad o • Definir responsabilidades de los
no divulgación, reflejando las actores que intervienen en el

4
necesidades de la organización proceso de transferencia de
para la protección de la información
información. • Firmas de aceptación de
penalidades y responsabilidades (de
quien manipula la información)

5
Conclusión

Ninguna organización por muy grande que sea esta exenta de sufrir ataques a sus sistemas

y por muy avanzados que estos sean, los principios se mantienen, si las herramientas de

seguridad de dichos sistemas no están activadas la información almacenada corre peligro

de ser comprometida y la pregunta en casos así no es ¿llegara a ocurrir alguna vez? sino

¿Cuándo? Es por ello por lo que se deben revisar las estrategias de seguridad para evitar

comprometer la continuidad del negocio de las organizaciones. Es imperativo apegarse a

los marcos de referencia internacionles de seguridad y buenas practicas de acuerdo al giro

del negocio al que la empresa se dedica y de esta forma mitigar riesgos de toda indole al

minimo.

6
Bibliografía

Whittaker, Z. (4 de Septiembre de 2019). A huge database of facebook users' phone

numbers found online. Obtenido de Tech Crunch:

https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/

International Organization for Standardization. (s.f.). ISO/IEC 27001 - Information

technology - Security techniques - Information security management systems -

Requirements).