CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

Bug en Facebook Messenger reveló con quién habías conversado

La falla, que ya ha sido solucionada, permitía a posibles atacantes descubrir en qué mensajes directos has participado.

facebook-f8-2015-messenger-platform-mark-zuckerberg.jpg

Facebook Messenger tuvo una falla de seguridad que permitía a los atacantes potenciales ver con quién conversabas.

James Martin/CNET

Facebook está haciendo un gran cambio a los mensajes privados, pero estos no son inmunes a las vulnerabilidades de seguridad.

Imperva, una empresa de ciberseguridad, detalló una falla en Facebook Messenger, que permitió a posibles atacantes saber con quién habías estado hablando en el servicio de mensajería.

El error de seguridad no muestra el contenido de los mensajes en sí, pero con sólo saber con quién has estado en contacto tiene el potencial de afectar tu privacidad, dijo Ron Masas, el investigador de seguridad que descubrió la vulnerabilidad.

"Se podría enviar a objetivos de alto perfil para averiguar con quién han tenido una conversación", dijo Masas. "Si enviaste un mensaje a un bot para pedir pizzas, esto se sabría".

Facebook corrigió el error en diciembre y no respondió a una solicitud de comentarios de CNET.

Masas también había detallado una falla similar en Facebook en noviembre pasado, donde los ladrones de datos podrían ver publicaciones privadas que les han gustado y lo que les ha gustado a sus amigos.

El bug funcionó al analizar iFrames, el código utilizado para insertar contenidos como videos de YouTube en las páginas. En su navegador, Messenger cargó un número específico de iFrames para las personas con las que has conversado y con las que nunca has hablado, dijo Masas.

El investigador de seguridad desarrolló una herramienta que informaría la cantidad de iFrames cargados, y con esos datos, podría averiguar con quién ha estado en contacto alguien.

Para que el ataque funcione, la víctima tendría que hacer clic en un enlace que lleva a la herramienta de Masas. En su prueba de concepto, estableció el enlace de la trampa como un video, de modo que las víctimas desprevenidas se distrajeran mientras los datos eran desviados.

Entonces, en una pestaña, tendrías la herramienta de espionaje que recopila datos en iFrames de la página de Facebook del destinatario en otra pestaña.

"La pestaña original puede preguntar al navegador cuántos iFrames tiene otra pestaña", dijo Masas. "Busca este patrón que indica si has tenido –o no– una conversación con una persona".

Ese patrón muestra una caída específica en iFrames si nunca has hablado con alguien en Messenger.

screen-shot-2019-03-07-at-11-03-42-am

La línea azul indica que nunca hablaste con alguien en Facebook Messenger. La línea roja significa que sí lo hiciste. Ese pico en la carga de iFrames indica la diferencia.

Imperva

Cuando Masas reportó por primera vez la falla a Facebook el 29 de noviembre, la red social intentó solucionarlo usando el número de iFrames al azar, dijo. Pero a pesar de que se eliminó el número específico de iFrames, esa caída en el patrón todavía existía, explica Masas.

Facebook finalmente solucionó la falla al eliminar iFrames de Messenger por completo.

La vulnerabilidad de la seguridad con Facebook Messenger se produce un día después de que Mark Zuckerberg anunciara sus planes para el futuro de la red social. Zuckerberg dijo que la red social se está moviendo hacia una plataforma centrada en la privacidad, con un énfasis en los mensajes cifrados.

Pero con el error que descubrió Masas, el cifrado no habría detenido la falla, dijo el investigador.

Esto se debe a que buscaba iFrames, lo que se proporcionaba por el navegador, no Facebook. "Estos datos se filtraron en el lado del cliente. En términos de cifrado, realmente no va a afectar esto", dijo Masas. 

Reproduciendo: Mira esto: Lo más notable del testimonio de Zuckerberg ante el Congreso...
13:00