Un 'hacker' español descubre cómo adivinar tu móvil en Facebook en solo 15 minutos

Garantizar la seguridad de tu cuenta, ayudarte a conectar con tus amigos y familiares de una forma más sencilla y facilitarte volver a obtener acceso si alguna vez tienes problemas para entrar en ella. Esas son las razones que alega Facebook para justificar pedirte que le des tu número de móvil a la hora de darte de alta. Pero lo que la compañía no cuenta es que si no proteges estrictamente tus datos, cualquiera con mínimos conocimientos informáticos y sin necesidad de demasiados recursos puede conseguir el número que le das a la empresa de Zuckerberg en apenas 15 minutos. Y solo necesita para encontrarlo tu correo electrónico.

Un joven 'hacker' español, David C. (nombre real pero incompleto para proteger su privacidad), ha descubierto que, siguiendo unos cuantos pasos relativamente sencillos, cualquiera con un ordenador puede conseguir el número de móvil del usuario de Facebook que quiera. “Un buen ‘hacker’ que acertara todo a la primera podría conseguir el número que busca en 15 minutos y con errores lo podría hacer en una semana”, asegura David en conversación con Teknautas.

Opinión

TE PUEDE INTERESAR

Facebook nos miente a la cara, y ahora te va a manipular (aún más) cada vez que entres

Manuel Ángel Méndez

Habla de acertar porque esta procedimiento se basa en pura matemática y probabilidad. Este joven ha demostrado que los pocos datos que ofrece la red social a los usuarios que pierden la contraseña pueden servir para conseguir el número, si le pones algo de lógica y usas un poco de fuerza bruta. Como un ladrón de cajas fuertes, solo tienes que dar con la combinación correcta.

Para que quede claro cómo funciona esta vulnerabilidad, aquí te dejamos, paso por paso, lo que hizo este especialista para llegar a encontrar el número que buscaba. En Teknautas hemos podido comprobar que el proceso funciona a la perfección.

1. Te haces con el correo electrónico de la persona de la que quieres conocer su número de móvil (algo relativamente sencillo).
2. Vas a la página inicial de Facebook, haces clic sobre el apartado “¿Has olvidado los datos de la cuenta?” e introduces el correo del usuario que buscas.
3. Realizado este paso, y si todo sale correctamente, tendrás los primeros datos clave. En el último apartado para recuperar tu 'password' te pondrá el número de teléfono asociado a la cuenta con este aspecto ‘+*********NN’, cambiando las dos enes por los últimos dígitos del móvil en cuestión. Con eso ya puedes empezar a trabajar.
4. Sabes que, si es un móvil español, los dos números tras el ‘+’ son el 3 y el 4, por lo que las probabilidades de acertar aumentan. Si, además, le sumamos que es casi seguro que el siguiente dígito sea un 6 (de momento los teléfonos que empiezan por 7 en España son muy escasos), solo te quedan por adivinar seis caracteres. Es decir, tienes un millón de posibles combinaciones. Puede parecer una cifra demasiado alta, pero ahora viene el punto clave del problema encontrad por David.
5. Facebook aún mantiene una herramienta, aunque algo escondida (pulsando aquí y poniendo un correo de gmail puedes encontrarla), que te permite importar contactos a través de teléfonos o correos en documentos con formato .csv. Es decir, puedes llenar tablas de Excel con los números que podrían coincidir con el de nuestro objetivo, guardarlas en formato .csv y empezar a subirlas a la plataforma. La función te permite subir cinco tablas con hasta 20.000 contactos al día por usuario, así que echa cuentas de lo que puedes llegar a hacer en unas horas.
6. Al cargar el documento, Facebook te irá dando los usuarios que están asociados a esos números y en cuanto entre ellos esté tu objetivo ya podrás ir cerrando el círculo. La plataforma no te especifica qué número está asociado a cada contacto, pero todo es ir deshojando la margarita.
7. Por último, puedes ir reduciendo las tablas según vayas acertando: de 20.000 a 10.000, de ahí a 5.000… Así hasta que solo te quede el número correcto.
8. Si aciertas todo a la primera, en 15 minutos y con las cinco tentativas diarias podrías llegar a dar con el número. Además, si tras la criba te quedan algunas posibilidades válidas, puedes ir probando los números en la barra de búsqueda de la plataforma, pues también funciona con estos.

Es una fórmula algo complicada en el inicio, pero, como comenta David C, prácticamente cualquier usuario podría explotar esta vulnerabilidad. “Solo necesitas un programa para generar las combinaciones y algo de paciencia”, explica. “Y si encima tienes varias cuentas (en Facebook solo necesitas un correo para crearlas), puedes ir mucho más rápido. En el peor de los casos, podrías tardar 66 días en sacar el teléfono correcto, pero todo experto te lo podría sacar en una semana, como mucho. En subir el .csv se tarda un minuto y en crear las listas de contactos en Excel, segundos”.

Él, que explica que incluso se podrían usar las pistas de otros servicios como PayPal para encontrar la solución más fácilmente (dando a recuperar contraseña en PayPal puedes conseguir hasta los cuatro últimos números del teléfono asociado a la cuenta), apunta como clave del error la cantidad de contactos que se pueden importar por usuario y día en Facebook. “Que un usuario pueda llegar a importar 100.000 contactos al día es una barbaridad”, argumenta. El fallo podría afectar a más plataformas que te piden el teléfono y que te permiten importar los contactos con un csv, como por ejemplo LinkedIn, pero habría que ver si te ponen tantas facilidades a la hora de ir probando combinaciones y cargar archivos.

Para comprobar la importancia del descubrimiento, solo hay que consultar el cvss, el sistema que se usa en ciberseguridad para medir el impacto de cada ‘exploit’, que marca este error con una puntuación de 9,1 sobre 10. “Es matizable esa puntuación, ya que depende de una configuración, pero está claro que la que te deja la plataforma por defecto es vulnerable. Y la red social no te pone demasiado fácil el cambio hacia una más segura”.

Una puerta de entrada a más ataques

¿Por qué es importante este 'fallo' de Facebook? Poder acceder en minutos al número de móvil de cualquier usuario, sea quien sea, no solo es una importante vulnerabilidad en la privacidad de los datos personales. También abre la puerta a lanzar posibles nuevos ataques: por ejemplo, phishing a través del móvil proveniente de un supuesto amigo de Facebook para obtener datos más comprometedores, como números de tarjetas de crédito o cuentas corrientes.

David reportó su descubrimiento a Facebook, pero la compañía le dijo que no se trataba de un error. Aseguran que el propio sistema ofrece ya a todos los usuarios la opción de ocultar al máximo esta información por lo que pueden configurar su perfil para evitar que alguien lo encuentre usando este procedimiento. “Es cierto que te dan opciones, pero la cuestión es que la configuración por defecto que te deja la plataforma permite más ataques”, comenta David. Desde El Confidencial nos hemos puesto en contacto con Facebook para conocer su versión oficial, pero al cierre de este artículo la compañía aún no había respondido.

De todos modos, si quieres evitar que alguien descubra tu teléfono con este método, aquí te dejamos también los pasos a seguir para proteger al máximo esa información dentro de la red social.

Debes saber que, por defecto, tu número de teléfono es visible para todos en Facebook. Por eso, lo que suele hacer la gente que se da cuenta de ello y quiere cambiarlo es ir a su perfil > sobre mí > teléfono > privacidad y poner esta opción en ‘solo yo’. Pero esta operación no funciona para tapar esta brecha en concreto, pues tu número sigue siendo 'público'.

La opción que hay que desactivar en este caso es la de que cualquiera pueda buscarte por él teléfono que tienes asociado al perfil. Para quitarla debes ir a Configuración > Privacidad y editar el apartado ‘¿Quién puede buscarte con el número de teléfono que has proporcionado?’. Eso sí, solo podrás pasar del ‘Todos’ que aparece por defecto al ‘Solo amigos’.