El experto en ciberseguridad Samip Aryal, quien encabeza la lista de "cazadores de recompensas" de Facebook, acaba de anunciar información sobre una vulnerabilidad de seguridad en esta red social que permite a los hackers explotar las cuentas de las víctimas. El problema se descubrió y se solucionó el 2 de febrero, pero tardó un mes en anunciarse ampliamente (debido a las normas de seguridad).

Según Aryal, la vulnerabilidad está relacionada con el proceso de restablecimiento de contraseña de Facebook mediante la función opcional que envía un código de autenticación de 6 dígitos a otro dispositivo en el que el usuario ha iniciado sesión o se ha registrado. Este código se utiliza para autenticar al usuario y completar el proceso de restablecimiento de contraseña en un nuevo dispositivo (en el que no se ha iniciado sesión previamente).

Durante el análisis de la consulta, descubrió que Facebook envía un código de autenticación fijo (que no cambia la secuencia numérica), que es válido por 2 horas, y no tiene medidas de seguridad para prevenir ataques de fuerza bruta, un tipo de intrusión no autorizada que utiliza el método de probar todas las posibles cadenas de contraseñas para encontrar la secuencia de caracteres correcta.

Esto significa que, en menos de dos horas tras enviar el código, el atacante puede introducir el código de activación incorrecto innumerables veces sin que Facebook tome medidas de prevención. Normalmente, si se introduce el código o la contraseña incorrectos más de la cantidad especificada, un sistema de seguridad suspenderá temporalmente el inicio de sesión de la cuenta sospechosa.

Puede que 2 horas no sean muchas para la gente normal, pero para los hackers que utilizan herramientas de soporte, es completamente posible.

Un atacante solo necesita saber el nombre de inicio de sesión de la cuenta objetivo para poder enviar una solicitud de un código de verificación, luego aplicar el método de fuerza bruta continuamente durante 2 horas, hasta que el resultado sea que sea fácil restablecer una nueva contraseña, tomar el control y "expulsar" las sesiones de acceso del propietario real antes de que puedan hacer algo.

El Sr. Vu Ngoc Son, director de tecnología de NCS, afirmó que este tipo de ataque escapa a la capacidad del usuario para prevenirlo y se denomina ataque de 0 clics. Con este tipo, los hackers pueden robar la cuenta de la víctima sin que esta tenga que hacer nada.

"Cuando se explota esta vulnerabilidad, la víctima recibe una notificación de Facebook. Por lo tanto, si recibes repentinamente una notificación de Facebook sobre la recuperación de contraseña, es muy probable que tu cuenta esté siendo atacada y secuestrada", compartió el Sr. Son. El experto afirmó que, con vulnerabilidades como la mencionada, los usuarios solo pueden esperar a que el proveedor corrija el error.

Facebook es una red social popular en muchos países , incluido Vietnam, y sus usuarios publican y almacenan una gran cantidad de datos personales durante su uso. Por ello, los hackers suelen intentar atacar y tomar el control de las cuentas en la plataforma para llevar a cabo fraudes.

Entre estos, el más destacado es la suplantación de identidad de la víctima y el contacto con familiares de su lista de amigos para solicitar transferencias de dinero y estafar. Este método, con el apoyo de la tecnología Deepfake para simular videollamadas , ha atrapado a muchas personas. Para generar mayor confianza, los estafadores también compran y venden cuentas bancarias con el mismo nombre que el titular de la cuenta de Facebook para facilitar su estafa.

Otra forma es secuestrar la cuenta y usarla para enviar enlaces o archivos con código malicioso, que se propagan en redes sociales. Estos códigos maliciosos atacan y roban información personal (como números de cuenta bancaria, fotos, contactos, mensajes y otros datos almacenados en la memoria del dispositivo) tras activarse en el dispositivo objetivo (el dispositivo de la víctima).