El experto en ciberseguridad Samip Aryal, que encabeza la lista de "cazadores de recompensas" de Facebook, acaba de anunciar información sobre una vulnerabilidad de seguridad en esta red social, que permite a los piratas informáticos explotar las cuentas de las víctimas. El incidente fue descubierto y solucionado el 2 de febrero, pero recién fue anunciado ampliamente un mes después (debido a normas de seguridad).

Según Aryal, la vulnerabilidad está relacionada con el proceso de restablecimiento de contraseña de Facebook a través de una función opcional que envía un código de autenticación de 6 dígitos a otro dispositivo previamente conectado o registrado por el usuario. Este código autentica al usuario y se utiliza para completar el proceso de restablecimiento de contraseña en un dispositivo nuevo (uno en el que nunca se ha iniciado sesión antes).

Durante el análisis de la consulta, descubrió que Facebook envía un código de autenticación fijo (que no cambia la secuencia numérica), que es válido por 2 horas, y no tiene medidas de seguridad para prevenir ataques de fuerza bruta, un tipo de intrusión no autorizada que utiliza el método de probar todas las posibles cadenas de contraseñas para encontrar la secuencia de caracteres correcta.

Esto significa que dentro de las 2 horas de enviar el código, el atacante puede ingresar el código de activación incorrecto innumerables veces sin encontrar ninguna medida preventiva del sistema de Facebook. Normalmente, si se ingresa un código o contraseña incorrectos más de una cierta cantidad de veces, un sistema de seguridad suspenderá el acceso de inicio de sesión para la cuenta sospechosa.

Puede que 2 horas no sean muchas para la gente normal, pero para los hackers que utilizan herramientas de soporte, es completamente posible.

Un atacante solo necesita saber el nombre de inicio de sesión de la cuenta objetivo para poder enviar una solicitud de un código de verificación, luego aplicar el método de fuerza bruta continuamente durante 2 horas, hasta que el resultado sea que sea fácil restablecer una nueva contraseña, tomar el control y "expulsar" las sesiones de acceso del propietario real antes de que puedan hacer algo.

El Sr. Vu Ngoc Son, director de tecnología de NCS, dijo que la forma de ataque antes mencionada está más allá de la capacidad del usuario para prevenirla y se denomina ataque de 0 clics. Con este formulario, los piratas informáticos pueden robar las cuentas de las víctimas sin que ellas realicen ninguna acción.

"Cuando se explota esta vulnerabilidad, la víctima recibe una notificación de Facebook. Por lo tanto, si de repente recibe una notificación de Facebook sobre la recuperación de contraseña, es muy probable que su cuenta esté siendo atacada y secuestrada", compartió el Sr. Son. El experto dijo que con vulnerabilidades como la mencionada, los usuarios sólo pueden esperar a que el proveedor solucione el error.

Facebook es una red social popular en muchos países alrededor del mundo , incluido Vietnam, y los usuarios publican y almacenan muchos datos personales durante su uso. Por ello, los hackers suelen intentar atacar y tomar el control de las cuentas en la plataforma para llevar a cabo escenarios fraudulentos.

Entre estas, la más destacada es la forma de suplantar a la víctima y contactar a familiares de su lista de amigos para solicitar transferencias de dinero para defraudar económicamente. Este método, con el apoyo de la tecnología Deepfake para falsificar videollamadas , ha atrapado a muchas personas. Para generar más confianza, los estafadores también compran y venden cuentas bancarias con el mismo nombre que el propietario de la cuenta de Facebook para llevar a cabo su estafa fácilmente.

Otra forma es apoderarse y utilizar la cuenta para enviar enlaces o archivos que contengan código malicioso y difundirlos en las redes sociales. Estos malwares son responsables de atacar y robar información personal (como números de cuentas bancarias, fotos, contactos, mensajes y muchos otros tipos de datos almacenados en la memoria del dispositivo) después de ser activados en el dispositivo de destino (el dispositivo de la víctima).