Facebook en un teléfono móvil

¿Qué darían muchas personas por acceder a las cuentas de redes sociales de amigos, conocidos y parejas? Seguramente la respuesta variará entre personas, pero el común denominador será, con casi toda probabilidad, una barbaridad. Tener el poder de entrar en cualquier cuenta de Facebook y acceder a los secretos e intimidades de cualquiera puede seducir a muchas personas: las aplicaciones maliciosas que esto puede tener son bastante atractivas para cualquiera dispuesto a sembrar un poco de caos. Y sin embargo, hackear una cuenta de redes sociales no es fácil. Es un hecho comprobado. Las webs que anuncian aplicaciones capaces de hacerlo son proveedoras de malware buscando incautos, ergo no existen formas automatizadas de hacerlo, sólo manuales, y no todo el mundo las conoce.

Y sin embargo, hasta hace muy poco era muy fácil hacerse con el control de una cuenta de Facebook gracias a una vulnerabilidad descubierta por un investigador de seguridad.

Cómo hackear Facebook: mediante fuerza bruta

Este investigador de seguridad llamado Anand Prakash descubrió un “pequeño agujero” que le permitía apoderarse de cualquier cuenta de Facebook y leer mensajes privados, así como publicar cualquier cosa, ver detalles de pago y hacer lo mismo que el dueño legítimo de dicha cuenta. El agujero funciona como un “restablecedor de contraseñas”, un fallo crítico que da a un atacante cualquiera oportunidades ilimitadas de intentar descifrar una contraseña por pura fuerza bruta.

La vulnerabilidad en sí se encuentra en cómo los dominios beta de Facebook gestionan las peticiones de restablecimiento de contraseña. Funciona de la siguiente manera:

  • Facebook permite a los usuarios cambiar su contraseña mediante este procedimiento confirmando cuál es su cuenta a través de un código de 6 dígitos que se recibe por SMS o correo electrónico.
  • Para asegurarse de la autenticidad del usuario, Facebook permite al dueño de la cuenta probar hasta una docena de códigos antes de que el de confirmación se bloquee, debido a la protección contra ataques de fuerza bruta que limita el número de intentos.

Lo que Prakash descubrió es que Facebook no había implementado procedimientos de rate-limiting en este proceso en los sitios beta, beta.facebook.com y mbasic.beta.facebook.com, según se puede leer en su blog. El investigador quiso introducir el código por fuerza bruta en estos sitios beta y descubrió que no existía un límite de intentos, tal y como se puede ver en el siguiente vídeo.

Un bug que vale 15.000 dólares

La vulnerabilidad se descubrió el pasado mes de febrero, y obviamente no se ha hecho pública hasta ahora por motivos de seguridad. El informe del descubrimiento del bug se hizo el 22 de febrero, y se solucionó un día después. El gigante social pagó a Anand Prakash la nada despreciable cifra de 15.000 dólares por su descubrimiento.

Es necesario tener en cuenta que, cuando se premia uno de estos descubrimientos, no se trata de recompensar a alguien por evitar daños corporativos. Lo que se pretende es recompensar la prevención de riesgos basándose en el impacto que el error tiene o podría tener en el futuro.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?