Facebook: ¿Por qué es tan grave el error que afectó a 50 millones de usuarios?

El viernes fue un día atípico para 90 millones de usuarios de Facebook: 50 millones de ellos tuvieron que reiniciar su sesión en la red social en todos los dispositivos desde donde se conectan (desktop, smartphones, PC, y Smart TV) ante el fallo de seguridad que dejó su información expuesta al ataque de hackers; mientras que otros 40 millones debieron hacerlo a manera de prevención.

¿Que hicieron los hackers? En esta ocasión robaron las identificaciones o 'tokens' de acceso a Facebook a través de la función "Ver como" de la propia red social. La vulneración de los ‘token’ – un código que permite a los usuarios reconectarse automáticamente a sus cuentas- dejó al alcance los datos de las cuentas de los afectados.

Los hackers no tuvieron que emplear sofisticadas técnicas paras acceder a la información de los miembros de la comunidad Facebook, sino simplemente aprovechar un descuido en la plataforma. “Está claro que los atacantes explotaron una vulnerabilidad en el código de Facebook que impactó en " Ver como "(…). Esto les permitió robar tokens de acceso de Facebook que luego podrían utilizar para hacerse cargo de las cuentas de las personas”, admitió la compañía.

El ataque se hizo mediante la funcionalidad “Ver cómo”, la cual permite a los usuarios ver su propio perfil pero como lo vería cualquiera de sus amigos, explica Sebastián Burgos, líder técnico de Fandango. Una modificación en dicha función, efectuada en julio del 2017, generó incorrectamente un ‘token’ de acceso del amigo al que colocaste en “Ver cómo”.

“Con este ‘token’ podías entrar a la cuenta de ese amigo y luego obtener los token de todos sus amigos y así sucesivamente. Es la forma en la que los hackers llegaron a 50 millones de cuentas hackeadas, al menos es el número que Facebook admite de usuarios afectados”, indicó el experto.

El token de acceso estaba disponible en el HTML de la página, el cual los atacantes “pudieron extraer y explotar para iniciar sesión como otro usuario”, declaró Facebook en su web.

Tus otras apps también fueron expuestas
Muchos usuarios reportaron que además de reiniciar sesión en Facebook también debieron hacerlo en aplicaciones a las que tenían acceso a través de sus cuentas de la red social, como Instagram, Spotify, Uber, entre muchas otras que utilizan a diario. Esto se debió a que los hackers también tuvieron al alcance de sus manos los servicios/ aplicaciones que utilizan el Facebook Login.

“La vulnerabilidad estaba en Facebook, pero estos tokens de acceso permitieron (a los hackers) usar la cuenta como si fuera el titular de esta. Esto significa que podrían haber accedido a otras aplicaciones de terceros usando el inicio de sesión de Facebook”, reconoció Guy Rosen, vicepresidente de producto de Facebook.

¿Quieres saber qué aplicaciones externas estuvieron expuestas? Para conocerlo tienes que ir a la pestaña “Configuración” y después buscar “Apps y sitios web”. En esa página encontrarás las apps que actualmente tienes vinculadas a la red social y el historial de los servicios que vinculaste a Facebook.

Los usuarios afectados por la vulnerabilidad de Facebook tuvieron que volver a iniciar sesión durante el viernes y el sábado. Tras ello, la red social les mostró un mensaje en el que textualmente indicaba: “Todavía no sabemos si se accedió a la información de Facebook de alguna persona. Seguiremos investigando lo que sucedió”. 72 horas después del reporte, Facebook no ha confirmado si los atacantes sustrajeron datos de sus usuarios.

“Este ataque permitió a los hackers acceder a cualquier contenido de las cuentas hackeadas, como fotos, publicaciones y chats. Si un usuario compartió alguna vez información sensible como datos de tarjetas de crédito, fotos privadas, contraseñas, entre otros, dentro de Facebook es recomendable que tomes las precauciones del caso”, aconsejo Burgos.

¿El adiós de “Ver cómo”?
Mientras tanto, la compañía de Mark Zuckerberg ha dado de baja temporalmente la función “Ver cómo”. Hasta el sábado, la pestaña que figuraba en la página de inicio del perfil del usuario mostraba un mensaje que daba cuenta de la desactivación de dicha funcionalidad. Sin embargo, ahora “Ver cómo” ha desaparecido de la plataforma. Aunque en Facebook todavía explica en qué consiste esta herramienta y cómo se puede usar tanto en desktop como en dispositivos móviles.