Por qué el hackeo a Facebook puso a disposición de los cibercriminales el acceso a cientos de otras redes sociales

La brecha de seguridad que impactó en 50 millones de usuarios podría haberle permitido a los atacantes ingresar en otras cuentas vinculadas con la plataforma a través del inicio de sesión automático

Guardar
Sheryl Sandberg, directora operativa de
Sheryl Sandberg, directora operativa de Facebook, declarando ante el Congreso de Estados Unidos por el incidente de Cambridge Analytica (AFP)

La brecha de seguridad de Facebook podría haber afectado a los usuarios de otras aplicaciones. Cientos de plataformas como Instagram, Tinder, Spotify, Pinterest o Airbnb le ofrecen a los usuarios la posibilidad de iniciar sesión con su perfil de Facebook.

Esto implica que la vulnerabilidad hallada en la plataforma que implicó el robo de los tokens de acceso podría haber permitido a los hackers ingresar en todas las apps vinculadas al perfil de los 50 millones de usuarios de Facebook afectados, salvo aquellas que piden un segundo factor de autenticación.

La CNN contactó a más de una docena de compañías que ofrecen el inicio a través de Facebook y muchas de ellas dijeron están trabajando para investigar este asunto pero no pudieron confirmar ni desestimar por completo que los datos de sus usuarios hayan sido expuestos.

Desde Tinder, por ejemplo, dijeron que "no había encontrado evidencia que sugiriera que se haya ingresado a las cuentas". Y aclararon que "seguirán investigando y que les ayudaría que Facebook fuera transparente y compartiera la lista de usuarios afectados porque eso sería muy útil en nuestra investigación".

La brecha de seguridad de
La brecha de seguridad de Facebook afectó a 50 millones de usuarios (Getty Images)

Multa millonaria

La Unión Europea podría multar a Facebook por 1.600 millones de dólares en caso de que se verifique, a raíz del incidente, se violaron las las reglas de protección de datos personales (GDPR) que entraron en vigencia en mayo de este año.

La ley establece que aquellas compañías que no cuiden los datos personales de sus usuarios podrían recibir una penalidad máxima del 4% de su facturación o 23 millones de dólares.

De qué se trató el incidente

Los atacantes explotaron una vulnerabilidad en el código de Facebook, que impactó a la herramienta "Ver Como", que permite a los usuarios ver cómo lucen sus propios perfiles desde la óptica de otras personas.

"Esto les permitió robar tokens de acceso a Facebook, que luego podrían ser empleadas para tomar el control de cuentas de usuarios. Los tokens de acceso son el equivalente a llaves digitales que mantienen a las personas conectadas a Facebook y evitan que tengan que reingresar su clave cada vez que quieren usar la plataforma", explicó Guy Rosen, VP de Producto.

Detalles técnicos del hackeo

Pedro Canahuati, VP de Ingeniería, Seguridad y Privacidad de Facebook publicó en el blog de la compañía los detalles técnicos detrás del incidente que se reproducen a continuación:

A principios de esta semana, descubrimos un ataque que se valió de una vulnerabilidad para exponer los tokens de acceso de una serie de cuentas en HTML, corriendo un componente específico de la función "Ver Como". Esta vulnerabilidad fue el resultado de la interacción de tres bugs diferentes.

Primero: "Ver Como" es una función de seguridad que permite a las personas visualizar cómo luce su perfil para los demás. "Ver Como" debería ser una interfaz de solo lectura. Sin embargo, para una 'composición' en particular -como se denomina la caja para publicar contenido en Facebook-, específicamente la que permite a las personas saludar a sus amigos en sus cumpleaños, "Ver Como" permitió, por error, publicar un vídeo.

Segundo: Una nueva versión de nuestra función para subir vídeos (la interfaz resultante del primer bug), que fue introducida en julio de 2017, generó un token de acceso erróneo que contenía permisos de la app móvil de Facebook.

Tercero: Cuando la función para subir vídeos aparecía como parte de "Ver Como", generaba un token de acceso, pero no para ti, sino para el usuario que tú estabas mirando.

La combinación de estos tres errores fue responsable de generar la vulnerabilidad: al usar la función "Ver Como" para visualizar tu perfil como lo vería un amigo, el código no eliminó la 'composición' que permite a las personas desear feliz cumpleaños. Eso hizo que la función para subir vídeos generara un token de acceso cuando no debía hacerlo; y el token de acceso generado no era para ti, sino para quien era mirado. Ese token de acceso estaba luego disponible en el HTML de la página, que los atacantes pudieron extraer y explotar para iniciar una sesión como si fuera otro usuario.

Los atacantes pudieron utilizar ese token de acceso para otras cuentas, y repitiendo esas acciones, obtener más tokens de acceso.

El hackeo le abrió el
El hackeo le abrió el acceso a los criminales a las redes sociales cuyo inicio de sesión estaba vinculado al perfil de Facebook (Reuters)

Qué medidas tomó Facebook

Facebook reinició los tokens de acceso de las 50 millones de cuentas que fueron afectadas por el incidente, así, como los de otras 40 millones de cuentas que usaron la funcionalidad "Ver Como" en el último año.

Esas 90 millones usuarios para volver a usar la red social deberán ahora reconectarse a Facebook o alguna de las apps a las que accedía a través de esta plataforma. Además, luego de reconectarse, los usuarios recibirán una notificación en su News Feed, explicando lo sucedido.

Por otra parte, la empresa anunció que desactivó la herramienta
"Ver Como", y dijo que está haciendo un "análisis exhaustivo de la seguridad".

Qué pueden hacer los usuarios

Cómo saber desde qué dispositivos se inició sesión

Es posible saber desde qué dispositivos se inició sesión en la red social. Para esto hay que ingresar en el menú desplegable, presionando la flecha (en la versión de escritorio) o las tres rayas horizontales (en la versión móvil) en el margen superior derecho.

Allí ir hasta Configuración de la cuenta/Seguridad e inicio de sesión. Allí se verá un listado de dispositivos con los cuales se ingresó a Facebook. Se puede cerrar el acceso presionando en el nombre del equipo que se quiera desvincular.

Desde el menú de configuración
Desde el menú de configuración se puede ver los dispositivos desde donde se inició sesión.

Si bien la red social aseguró que los hackers no tuvieron acceso a las contraseñas sino a los tokens de acceso, no está de más cambiar el password y activar la autenticación en dos pasos, si es que ya no se hizo esto anteriormente.

Desvincular otras apps de Facebook

En el menú de Configuración de la cuenta hay que ingresar a Apps y sitios web. Allí se verá en qué aplicaciones se inició sesión con el perfil de Facebook y es posible desvincular las apps.

Desde la opción Apps y
Desde la opción Apps y sitios web se podrá ver en qué plataformas se usa el inicio de sesión automático con el usuario de Facebook.

También se puede desactivar por completo esta opción de log in automático dentro de Preferencias/Aplicaciones, sitios web y juegos.

Guardar

Últimas Noticias

Mañanera de Claudia Sheinbaum hoy 23 de diciembre | Migración y Tren Maya, entre lo más destacado

La presidenta encabezará su habitual conferencia matutina desde Palacio Nacional; informará sobre temas relevantes y responderá preguntas de la prensa
Mañanera de Claudia Sheinbaum hoy

Edison Flores y Ana Siucho reafirman su amor tras fuertes rumores de separación: ‘¡Felices bodas de madera, mi Chichi!’”

La pareja se ha visto envuelta en especulaciones sobre su posible distanciamiento. Después de permanecer en silencio, finalmente revelaron cuál es su situación como pareja
Edison Flores y Ana Siucho

Tradiciones navideñas insólitas: 9 maneras únicas de celebrar la Navidad en el resto del mundo

De los villancicos a los festines, la Navidad tiene tradiciones que unen a las familias, pero algunas costumbres alrededor del mundo son tan peculiares que podrían sorprenderte. Conoce estas curiosas celebraciones globales.
Tradiciones navideñas insólitas: 9 maneras

Está es la nueva modalidad de estafa en redes sociales usando tu clave de WiFi

Los ciberdelincuentes están solicitando que los incautos internautas realicen una serie de pasos para supuestamente obtener acceso a las redes privadas de WiFi, sin saber en la trampa que están cayendo
Está es la nueva modalidad

Sofi Martínez habló sobre el fuerte cruce entre Mirtha Legrand y Roberto García Moritán: “Fue incómodo e intenso”

La periodista se explayó acerca de lo que vivió como invitada a la mesa de la diva, cuando se produjo un tenso mano a mano entre la conductora y el empresario. “Cada uno estaba plantado en su lugar”, aseguró
Sofi Martínez habló sobre el
MÁS NOTICIAS