Fallo de seguridad permitía tomar el control de cualquier cuenta de Facebook

Con un correo y ninguna operación realmente sospechosa, un atacante podía tomar el control de cualquier cuenta de Facebook. La red social ya reparó la vulnerabilidad.

Facebook
Un nuevo hueco en Facebook… Foto: Geekpulp (vía Flickr).

Una vulnerabilidad descubierta recientemente por el investigador Dan Melamed y publicada en su blog, le permitía a un usuario malicioso tomar control de cualquier cuenta de Facebook. La falla solo requería que la víctima visitara un sitio en el que se ejecutaba un código ofrecido por la misma red social, que pasaría desapercibido por cualquier programa de seguridad y que, de hecho, es inocuo por sí mismo.

En concreto, la falla le permitía al atacante asociar una dirección de correo electrónico a la cuenta de Facebook de la víctima, con lo que le era posible reiniciar la contraseña del perfil atacado y tomar control sobre él. Para que el ataque funcionara, el correo ya debía pertenecer a otro usuario de Facebook y estar registrado en la base de datos de la red social. El código se obtenía cuando el atacante registraba ese correo como propio.

Para caer en la trampa, la víctima debía ejecutar el código malicioso mientras estuviera conectada a Facebook. El atacante podía insertarlo en un sitio web y asegurarse de que la persona atacada lo visitara, o simplemente podía enviarle un link. Cuando eso ocurría, el e-mail del atacante inmediatamente quedaba registrado en el Facebook de la víctima. En este video se puede ver el ‘exploit’ en acción (recomendamos verlo en pantalla completa y HD).

Melamed dice que la falla de seguridad ya fue solucionada. Sin embargo, asegura que ha descubierto otras vulnerabilidades de la red social, y afirma que las publicará en la medida en la que los expertos de seguridad del servicio las reparen.

José Luis Peñarredonda

José Luis Peñarredonda

Un día me preguntaron sobre mis intereses y no supe por dónde empezar. Decidí entonces ponerlos en orden y dibujé un diagrama de Venn para agruparlos a todos: Internet, cine, periodismo, literatura, narración, música, ciencia, fotografía, diseño, política, escritura, filosofía, creatividad... Me di cuenta de que en toda la mitad de ese diagrama, en el punto en el que todos estos círculos confluyen, está la tecnología. Eso me llevó a ENTER.CO. Estudié Periodismo y Filosofía en la U. del Rosario. PGP: http://bit.ly/1Us3JoT

View all posts

10 comments

  • no se hasta que punto sea prudente publicar este vídeo casi tutorial
    si un usuario de nivel medio o alto lo ve, fácilmente puede hacer el procedimiento y continuar con el robo de alguna cuenta.

  • no se hasta que punto sea prudente publicar este vídeo casi tutorial
    si un usuario de nivel medio o alto lo ve, fácilmente puede hacer el procedimiento y continuar con el robo de alguna cuenta.

  • Yo no entiendo muy bien porque la gente se motiva tanto para publicar toda su vida en Fb y mas teniendo tantas fallas de seguridad (Porque son muy repetitivas)

    • Al usuario promedio de Facebook le va o le viene la seguridad de la plataforma o simplemente no se da cuenta de estas noticias. Yo no creo que la adolescente del tipo que se la pasa tomándose fotos en el espejo del baño de un centro comercial mientras tuerce la boca como si se hubiera asomado calorosa a la nevera, deje de utilizar una de sus mas poderosas armas para el faranduleo por esto.

  • Yo no entiendo muy bien porque la gente se motiva tanto para publicar toda su vida en Fb y mas teniendo tantas fallas de seguridad (Porque son muy repetitivas)

    • Al usuario promedio de Facebook le va o le viene la seguridad de la plataforma o simplemente no se da cuenta de estas noticias. Yo no creo que la adolescente del tipo que se la pasa tomándose fotos en el espejo del baño de un centro comercial mientras tuerce la boca como si se hubiera asomado calorosa a la nevera, deje de utilizar una de sus mas poderosas armas para el faranduleo por esto.

Archivos