Suplantación de identidad en Facebook

21 Mayo 2012 - 6 minutes read

En un Informático del lado del mal describen una vulnerabilidad en Facebook con la cual es posible suplantar la identidad de un usuario de la red social. Con este método es posible enviar mensajes (a través del sistema interno de Facebook) utilizando como remitente a cualquier usuario registrado en Facebook.

Desde luego el principal motivo de la publicación de esta información es concientizar a los usuarios de redes sociales sobre la importancia de la privacidad y la seguridad de todos los datos que publican. Este error tiene aproximadamente un año desde su descubrimiento e inexplicablemente no ha sido reparado por Facebook aún.

Los requisitos para explotar esta vulnerabilidad son los siguientes:

  • Dirección de correo electrónico de la persona que se va a suplantar.
  • Dirección de correo electrónico de Facebook de la persona a quién se engaña.
  • Un sistema para enviar correos SMTP.

Pasos para enviar un mensaje de Facebook suplantando la identidad de otro usuario

Para obtener el correo electrónico de un usuario de Facebook basta con ir a su perfil y revisar la sección “Información de contacto”, generalmente ahí aparecen las direcciones de correo que el usuario tiene publicadas. En caso de que el usuario haya ocultado sus cuentas de correo electrónico, es posible obtenerlas con alguno de los siguiente métodos.

Información de contacto en Facebook

Sección "Información de contacto" en un perfil de Facebook

Obtener el correo de Facebook de un usuario es todavía más sencillo pues tan solo es necesario visitar el perfil del usuario y revisar la URL que aparece en la barra de direcciones. Facebook asigna una dirección de correo electrónico con el mismo nombre de usuario del perfil. Es decir, si la dirección URL de un perfil es https://www.facebook.com/usuariox, el email de FB del usuario es usuariox@facebook.com.

Usuario de Facebook en URL de perfil

Usuario de Facebook en URL de perfil

Para verificar que una dirección de correo electrónico es válida pueden utilizar servicios en línea como Verify-email.org. Así es posible verificar que las direcciones de correo que queremos utilizar realmente existen.

Una vez obtenidas la dirección del emisor (el usuario suplantado) y la dirección del receptor (el correo @Facebook.com), el siguiente paso es enviar un simple correo electrónico. Hay varias opciones como utilizar un sencillo formulario en PHP para enviar correos anónimos o utilizar Telnet para conectarte directamente al servidor de correo de Facebook.

Envío de email por Telnet

Envío de email por Telnet

Los correos electrónicos enviados a una dirección @Facebook.com son visibles para el usuario en la sección de Mensajes. Si el correo electrónico anterior se envió correctamente, el usuario receptor verá en su sección de Mensajes un nuevo mensaje del usuario de Facebook del emisor.

Recepción de mensaje de "Mark Zuckerberg" en Facebook

Recepción de mensaje de "Mark Zuckerberg" en Facebook

Este muchacho Mark Zuckerber que considerado es por escribirme. 🙂

La única pista que Facebook muestra al usuario sobre el origen del mensaje es ese pequeño símbolo de alerta en la esquina superior derecha. Si se posiciona el cursor sobre el icono se muestra un mensaje que dice “No se puede confirmar que este mensaje sea de Mark Zuckerberg”. ¿Cuántos usuarios crees que van a notar esta pequeña advertencia? Además hay dos casos en los que no se muestra advertencia alguna; en la aplicación móvil de Facebook para iOS y Android y en el Chat de Facebook (si la persona engañada se encuentra en el chat de Facebook recibirá el mensaje por ese medio).

Mensaje de advertencia de Facebook

Mensaje de advertencia de Facebook

Se demostró entonces lo sencillo que es suplantar la identidad de una persona en Facebook. Aplicando métodos de ingeniería social sería posible llegar a obtener información personal de los usuarios. Por eso repito, nunca confíen en que su información personal estará segura en redes sociales.

Si tienen alguna duda para replicar el procedimiento pueden dejar un comentario en el post o contactarme vía Twitter.

Tags: , ,