Nuestra presencia en las redes sociales se ha convertido en una parte más de nuestra vida, donde compartimos información personal y experiencias. Para muchos, su cuenta de Facebook funciona como un escaparate de cara al resto de usuarios e incluso las empresas hace tiempo que cuidan su presencia en estas redes al detalle. Pero, ¿qué pasaría si alguien pudiese hacerse con el control de cualquier cuenta de Facebook aprovechando una vulnerabilidad?
Investigador indio descubre una vulnerabilidad
Facebook acaba de solucionar un grave fallo en una de las herramientas de la red social que permitiría a un atacante obtener el control de cualquier página. Esto ha sido posible gracias a la investigación realizada por Arun Sureskumar, que publicó la vulnerabilidad el pasado 29 de agosto, y que fue solucionada por Facebook al día siguiente.
Este investigador ha publicado detalles sobre la vulnerabilidad en su blog, indicando que solo necesito dos números de cuentas de Facebook corporativas para poder realizar el ataque. Para conseguir que este ataque tuviese éxito, primero interceptó una petición de una de estas cuentas, intercambió un identificador único perteneciente a una de las páginas que quería comprometer y reenvió la petición. Tras realizar esta operación, el investigador podía asignarse permisos de administrador de esa web para tener su control total.
Esta vulnerabilidad podría haber sido utilizada para tomar el control de cualquier página de Facebook, independientemente de qué personaje público o empresa se tratase. Hasta el mismísimo Mark Zuckerberg podría haber sido víctima de un ataque de este tipo. Es por eso que Facebook recompensó al investigador con 16.000 dólares, no solo por esta vulnerabilidad, sino por otra que detectaron mientras la solucionaban.
Sobre la seguridad de las páginas de Facebook
El hecho de que muchas empresas y personajes públicos tengan una web en Facebook es, mayormente, algo positivo. Permite interactuar con sus usuarios y fans y resolverles dudas, a la vez que sirven también para lanzar promociones; en definitiva, son una ventana de promoción perfecta con un público potencial de cientos de millones de usuarios.
Sin embargo, también tiene su lado oscuro, y es que cualquier fallo o error se multiplica y el daño hecho a la marca o a la persona puede ser muy grave y costar mucho dinero. Es por eso que este tipo de vulnerabilidades son tan peligrosas, ya que permitir que un atacante tome el control de una de estas páginas le permite hacer mucho daño, no solo publicando contenido inadecuado, sino también propagando enlaces maliciosos que pueden hacer que miles de seguidores de esa página de Facebook se infecten.
Es por esto que Facebook aplica un programa de recompensas que premia a los investigadores que descubren fallos como el que acabamos de describir. Por una parte, el investigador ve recompensado su trabajo y por otra Facebook evita, dentro de lo posible, que esta vulnerabilidad se venda en el mercado negro, algo que podría terminar con consecuencias desastrosas.
Conclusión
Siempre es una buena noticia que una empresa como Facebook solucione fallos de seguridad en sus sistemas, y más si lo hace de forma rápida y recompensando a los investigadores. Sin embargo, los delincuentes tienen métodos más sencillos que los descritos en este artículo, y es que el robo de credenciales sigue siendo efectivo con técnicas tan antiguas como la suplantación de un correo electrónico.
Por eso, como usuarios no debemos bajar la guardia y hemos de aplicar todas las medidas de seguridad a nuestro alcance. Esto incluye la utilización de contraseñas robustas y únicas para esta red social y la activación del doble factor de autenticación para evitar que alguien tome el control de nuestra cuenta en caso de que la contraseña se haya visto comprometida.