Suplantación de identidad en Facebook

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+4Share on Facebook0Share on LinkedIn0

Hace medio año aproximadamente, se encontró una vulnerabilidad en la gran red social por la que se puede suplantar la identidad de un usuario del sistema fácilmente. Es decir, hacerse pasar como si fueras otra persona haciendo un spoofing. A día de hoy la gran mayoría de usuarios no está enterada de esto.

Según Inteco (Instituto Nacional de Tecnologías de la Comunicación), este defecto “se deriva del propio protocolo de correo electrónico de Internet, que es el que utilizan Facebook y otros proveedores de servicio similares, y que no permite por defecto asegurar al receptor quien es el auténtico emisor del correo”.

Este problema existe en todos los servicios de correo electrónico como en Hotmail, Gmail, Yahoo!, para lo que se han implementado soluciones como DKIM, SPF, o la firma digital PGP o S/MIME. Quizás en Facebook es más gravé aún porque el mensaje llegaría como una notificación más con el nombre e imagen de “x” persona, lo cual si no sabe del tema, generaría grandes consecuencias.

El sistema de suplantación es muy fácil de realizar, lo único que se necesita es:

  • Dirección de correo electrónico de la persona que se va a suplantar.
  • Dirección de correo electrónico de Facebook de la persona a quién se engaña.
  • Un sistema para enviar correos SMTP.

Suplantación de identidad en Facebook paso a paso

Generalmente para obtener el e-mail de una persona en Facebook es suficiente con ir a su perfil, luego a información y buscar donde dice Información de Contacto. Ahí estará su dirección de correo, siempre y cuando no la haya ocultado. Si es el caso, el email se puede obtener a través de la simple deducción, usando servicios que el mismo Facebook nos brinda.

Para obtener el email de Facebook de una persona, basta con saber su nombre de usuario. Facebook asigna como dirección de correo con el mismo nombre de usuario, por lo que si el nombre de usuario es “username” su dirección de correo de facebook sera username@facebook.com. Eso siempre y cuando el usuario tenga habilitado el correo de Facebook.

Para saber si tiene habilitado el correo de Facebook o no, podemos googlear y buscar algún sitio que chequee si una dirección de correo es válida o no. Un sitio efectivo es Verify Email.

Una vez que se obtienen los datos, se debe hacer uso de algún sistema pare enviar correos spoofeados. Esto puede hacerse con una simple conexión telnet al servicio SMTP de algún servidor MX de Facebook, con un sistema de enviar a un amigo inseguro o con un formulario PHP creado para tal uso.

En este caso se ha hecho un formulario con la estética de Facebook, para que sea más bonito. En el campo del receptor va el e-mail de Facebook y en el campo del emisor va la dirección de correo de la persona que va a ser suplantada, en este caso el propio Mark Zuckerberg. Finalmente se envían los datos.

Este correo electrónico se envía al correo asociado a Facebook y aparece dentro de la conversación que el usuario que lo recibe mantenía con el contacto que supuestamente se lo envía. Luego de unos segundos, me llega un mensaje privado a mi cuenta

Si tienen buena vista, habrán visto en la imagen anterior, a la derecha del mensaje un pequeño triángulo de color amarillo – signo de alerta -. Si ponemos el puntero del ratón encima del símbolo, saldrá un cartel con lo siguiente:

Como verán, Facebook alerta que no puede confirmar si el mensaje fue enviado por esa persona. Ustedes pensaran que entonces no es grave ya que nos avisara.. pero lamentablemente, sólo da la alerta cuando la dirección de e-mail de la persona que nos envía el mensaje proviene de algún servicio de e-mail con tecnologías SPF, Sender ID o DKIM y no se ha podido verificar la dirección IP del servidor emisor.

Sin embargo, lo peor de todo es que la alerta solo aparece en las conexiones vía aplicación web, y no en las aplicaciones Facebook para iOS o Android, algo que deberían arreglar, además del almacenamiento inseguro de la sesión que permite hacer hijacking en Facebook.

Las consecuencias que trae este bug pueden ser graves si se hacen contra usuarios que no esté prevenidos de este problema del correo electrónico usado en Facebook, y por supuesto ya ha habido mucho malware y spam que ha hecho uso de esta característica en la red social, adjuntado binarios o distribuyendo enlaces a sitios maliciosos. Todo depende de la imaginación que le aplique cada uno.

La suplantación en el chat

Otra de las cosas que sucede es que que si la persona a la que se le envía el mensaje está chateando con la persona a la que se suplanta, el mensaje le llegará al chat sin ninguna advertencia, ya que el chat realmente está creado sobre el sistema de mensajes de Facebook. Una curiosidad perfecta para los ataques dirigidos.

Lo recomendable para evitar que los malos utilicen tu identidad sería ocultar tu dirección de correo del perfil de Facebook y no pasársela a extraños, aunque se rumorea que, en un movimiento de marketing, Facebook podrá la dirección @facebook obligatoria a todos los usuarios. Así que, lo mejor es tener precaución y vigilar esa pequeña alerta en la recepción del correo, utilizar cuentas lo más seguras posibles para registrarse en Facebook y verificar la información recibida antes de tomarla en serio.


Por Ariel Ignacio vía elladodelmal.com

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 24 + 17 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos