Es noticia
Un joven descubre un fallo en Facebook que permite controlar cualquier cuenta
  1. Tecnología
La red social le ha premiado con 15.000 dólares

Un joven descubre un fallo en Facebook que permite controlar cualquier cuenta

Anand Prakash, especialista en seguridad informática de 22 años, ha encontrado un grave agujero de seguridad en Facebook que permitía 'hackear' cualquier perfil

Foto: (Foto: Reuters)
(Foto: Reuters)

Se llama Anand Prakash, tiene 22 años, vive en la India y Facebook le acaba de premiar con 15.000 dólares por haber descubierto un grave agujero de seguridad en la página. Tan grave que le permitía 'hackear' cualquier cuenta de los más de 1.000 millones de usuarios de la red social. Prakash ha detallado su hallazgo en un post cuyo título lo dice todo: "Cómo pude haber hackeado todas las cuentas de Facebook". La compañía ha reconocido el error y le ha premiado con una cantidad que, dada la amenaza, se antoja casi insignificante.

Prakash, especialista en seguridad informática, descubrió y documentó el fallo hace un mes, pero solo lo ha hecho público ahora después de haber avisado a Facebook y haberle permitido solucionarlo. Mejor definición de 'hacker' ético imposible. El error apareció en la versión beta de la red social, beta.facebook.com, utilizada por los desarrolladores y el propio equipo de Facebook para probar cambios antes de lanzarlos a la versión final de la página.

El agujero de seguridad radicaba en el sistema para recuperar la contraseña cuando la hemos olvidado. Facebook envía al móvil o al email del usuario un código de seis dígitos que sirve para acceder temporalmente a la cuenta y cambiar la contraseña. Sin embargo, solo permite varios intentos para introducir ese código. Si los fallas todos, la cuenta queda bloqueada. Prakash se dio cuenta de que este límite de intentos, por un fallo temporal en el sistema, no existía en la versión beta de Facebook, así que decidió lanzar un ataque de fuerza bruta (utilizar un algoritmo para probar y probar contraseñas hasta acertar) para 'hackear' cualquier perfil. Y lo consiguió.

Acceso a mensajes, fotos y datos personales

Tal y como explica en su post, fue capaz de ver todos los mensajes privados de los usuarios, fotos personales y hasta los números de las tarjetas de crédito y débito almacenados en la sección de pagos. Como todas las cuentas de Facebook están disponibles tanto en la versión normal como en la beta, el fallo que acababa de descubrir implicaba sencillamente que podía 'hackear' cualquier cuenta que se le antojara. La tuya y la mía incluidas. Y para demostrarlo grabó un vídeo de todo el proceso.

Facebook ha confirmado al blog estadounidense Gizmodo que, efectivamente, el agujero de seguridad existió, aunque solo pudo ser explotado durante 72 horas, el tiempo que estuvo la versión beta sin el sistema de verificación de seis dígitos. "Lo bueno de tener un programa de recompensas para cazar errores es la posibilidad de encontrarlos antes de que lleguen a la versión final de la web. Estamos muy contentos de reconocer y premiar a Anand por su excelente trabajo", ha explicado a Gizmodo Melanie Ensign, portavoz del equipo de seguridad de Facebook. El premio: 15.000 dólares. Zuck se podía haber estirado un poquito más.

Se llama Anand Prakash, tiene 22 años, vive en la India y Facebook le acaba de premiar con 15.000 dólares por haber descubierto un grave agujero de seguridad en la página. Tan grave que le permitía 'hackear' cualquier cuenta de los más de 1.000 millones de usuarios de la red social. Prakash ha detallado su hallazgo en un post cuyo título lo dice todo: "Cómo pude haber hackeado todas las cuentas de Facebook". La compañía ha reconocido el error y le ha premiado con una cantidad que, dada la amenaza, se antoja casi insignificante.

El redactor recomienda