Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Actualización de seguridad de Facebook

Fecha de publicación 01/10/2018
Importancia
3 - Media
Recursos Afectados

Cualquier organización, pyme o autónomo que cuente con perfiles en esta red social y gestione páginas de empresa, ya que han sido afectadas casi 50 millones de cuentas. 

Descripción

En la tarde del pasado martes 25 de septiembre se descubrió una vulnerabilidad en la red social Facebook que expuso la información de 50 millones de cuentas. Esta información ha sido confirmada a través de una nota de seguridad

Se trata de un problema de seguridad que afecta a la característica “Ver como”, mediante la cual un atacante podría obtener el identificador único o clave digital de acceso automático a las cuentas («token»), utilizados para no introducir las credenciales cada vez que se quiere acceder a las mismas. 
 

Solución

Para solucionarlo, Facebook ha restablecido los «tokens» de acceso a la aplicación de todas las cuentas de las que se tiene certeza que fueron afectadas por esta vulnerabilidad. Además, se han tomado medidas preventivas en otras cuentas que han sido objeto de la opción de búsqueda “Ver como…” en el último año.

Aunque desde Facebook indican que no es necesario realizar el cambio de contraseña, se recomienda llevar a cabo esta medida. Si se tiene problemas para realizar el inicio de sesión, Facebook recomienda seguir los pasos que marca su Servicio de ayuda para reestablecer la contraseña:

  1. Ve a la página Recupera tu cuenta (facebook.com/login/identify).
  2. Escribe el correo electrónico, número de teléfono móvil, nombre completo o nombre de usuario asociado a la cuenta y, a continuación, haz clic en Buscar.
  3. Sigue las instrucciones que aparecen en la pantalla.

¿Le gustaría estar a la última con la información de nuestros avisos? Anímese y suscríbase a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Será el primero en enterarse de los últimos avisos de seguridad para empresas.
 

Detalle

La función de privacidad «Ver como…», permite comprobar cómo es el aspecto de tu perfil para el resto de usuarios. 

La vulnerabilidad detectada en esta función fue provocada por una combinación de tres tipos de errores:

-    En primer lugar, desde el cuadro que permite desear a amigos feliz cumpleaños, se proporcionó incorrectamente la oportunidad de publicar un vídeo.
-    En segundo lugar, ese cargador de vídeos generó incorrectamente un «token» de acceso con los permisos de la aplicación móvil de Facebook.
-    Por último, cuando el cargador de vídeos apareció como parte del «Ver como…», se generó un «token» de acceso para un usuario que realizara la búsqueda. 

Esta combinación convirtió a la función «Ver como…» en una vulnerabilidad. Cuando usas la característica «Ver como…» para ver el perfil de un amigo, el código no eliminó la posibilidad de cargar vídeos en el cuadro de felicitación de cumpleaños, generando un «token» de acceso para la persona que estaba haciendo esa búsqueda. De esta forma, estaban disponibles en el HTML de la página las credenciales de acceso que generan ese «token», quedando visibles para el atacante. 

Imagen decorativa de aviso de seguridad de facebook

Además, esta vulnerabilidad permitía pivotar de una cuenta comprometida con ese «token» a otras, realizando las mismas acciones y obteniendo credenciales de acceso a las mismas. 

Por lo tanto, Facebook ha reiniciado los «tokens» de acceso de las casi 50 millones de cuentas de las que se tiene constancia que han sido afectadas y como medida de precaución, de otros casi 40 millones, lo que obligará a los usuarios a volver a iniciar sesión. 

Finalmente, la opción «Ver como…», ha sido deshabilitada, ya que el proceso de investigación permanece abierto. Esto implica que no se sabe si se han realizado usos fraudulentos o malintencionados de aquellas cuentas cuyos «tokens» fueron robados o si se ha accedido a información confidencial. 

Mejoramos contigo. Participa en nuestra encuesta

Listado de referencias