CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

Fallo en Facebook expuso información de perfil a ladrones de datos

La vulnerabilidad permitió que los ataques potenciales vean lo que te ha gustado, quiénes son tus amigos y qué les gusta.

facebook-f8-mark-zuckerberg-data-privacy-2018-0218

Mark Zuckerberg durante una ponencia sobre privacidad de datos en F8. 

James Martin / CNET

Tus "me gusta" en Facebook, al igual que los de tus amigos, han sido expuestos por una vulnerabilidad que la red social arregló en fechas recientes.

La vulnerabilidad utiliza ataques del tipo (CSRF) que hacen que las páginas realicen tareas que no deben, combinados con el acceso a una cuenta que ya inició sesión. La falla de seguridad está vinculada a Facebook en el navegador Chrome de Google, que representa más del 60 por ciento de los navegadores que se usan para acceder a Internet. Google no respondió de inmediato a una solicitud de comentarios.

Imperva, una compañía de ciberseguridad, descubrió la vulnerabilidad y se la reveló a Facebook en mayo. La red social tampoco respondió a una solicitud de comentarios.

Para que el ataque funcione, un pirata informático potencial tendría que engañar a una persona que inició sesión en Facebook para que abra un sitio Web malicioso, que los investigadores de Imperva configuraron durante su análisis.

Una vez que una persona hace clic en cualquier lugar del sitio Web, la vulnerabilidad usaría iFrames, código utilizado para insertar contenido en páginas como videos de YouTube, para abrir una nueva pestaña con la página de búsqueda de Facebook.

Desde allí, el atacante podría haber creado búsquedas para buscar información personal: para ver a tus amigos, qué páginas te han gustado y qué páginas les han gustado a tus amigos.

Ron Masas, un investigador de seguridad de Imperva, señaló que puedes diseñar las búsquedas para que sean más específicas, como si quisieras consultar a los amigos de la persona según su ubicación, nombre, religión o cualquier combinación.

Masas también pudo buscar publicaciones que contenían textos específicos del usuario que hizo clic o de los amigos de ese usuario. Incluso si su configuración de privacidad se modificó para que solo sus amigos puedan ver sus "Me gusta", esta vulnerabilidad la evitaría, agregó.

"Esto permitió que la información cruzara dominios, lo que significa que si un usuario visita un sitio Web en particular, un atacante puede abrir Facebook y recopilar información sobre el usuario y sus amigos", dijo en un comunicado.

Puedes ver cómo funcionaría el ataque en el siguiente video:

Datos como este son extremadamente valiosos para empresas externas, como lo demostró el escándalo alrededor de Cambridge Analytica en marzo.

La ahora desaparecida firma de análisis de datos del Reino Unido extrajo información, incluyendo Me gusta y los intereses de amigos, de 87 millones de cuentas en Facebook, sin el permiso de los usuarios. Luego, la compañía usó esa información para crear perfiles de usuarios a los que podrían dirigirse para publicidad política.

Luego, en septiembre, Facebook notó que los piratas informáticos habían robado información personal de 29 millones de personas que utilizaban vulnerabilidades relacionadas con su función "Ver como". Facebook se negó a comentar sobre quién estaba detrás del hackeo ya que todavía estaba bajo investigación del FBI, pero el Wall Street Journal reportó que seguramente se trató de spammers que posaban como una agencia de mercadotecnia digital.

LEER: Cómo borrar tu cuenta de Facebook para siempre