Descubren fallo en el sistema de seguridad de Facebook; su cuenta estaría en riesgo si los ladrones conocen su número celular

Un fallo en el Centro de cuentas de Meta, que aúna la gestión de las cuentas de las dos redes sociales de la compañía, ha permitido a los actores maliciosos desactivar la autenticación de dos factores en Facebook de un usuario con solo conocer su número de teléfono.

El investigador en ciberseguridad Gtm Mänôz detectó que Meta no había establecido un número de limitado de intentos para acceder a la cuenta con la autenticación de dos factores mediante SMS activada dentro de la nueva interfaz para el Centro de cuentas.

Por este fallo, un atacante podía, en caso de conocer el número de teléfono de la víctima, vincularlo a su propia cuenta como parte del sistema de dos factores. Al intentar confirmar el cambio, se solicita un código de seis dígitos enviado al móvil, que el atacante no conoce por el momento.

Sin embargo, al no haber límite de intentos, puede iniciar un ataque de fuerza bruta, intentar introducir tantas combinaciones de seis dígitos como pueda hasta dar con la que le permita acceder. En ese momento, lo que ocurre es que el número de teléfono de la víctima se ha logrado vincular con éxito a la cuenta del atacante.

La víctima, por su parte, recibirá una notificación en la que se indica que su número de teléfono se ha desvinculado de su cuenta, ya que forma parte del sistema de autenticación de dos factores de otra persona. Como consecuencia, tendrá la autenticación de dos factores desactivada, lo que le hará más vulnerable a los ataques que intenten acceder a su cuenta.

Mänôz identificó este fallo el año pasado, como explica en su blog en Medium. El 14 de septiembre envió a Meta el informe correspondiente y tras solicitar la ayuda del investigador para reproducirlo, unos días después la compañía tecnológica logró eliminarlo, aunque no fue hasta el 17 de octubre que lo solucionó del todo.

Acusan a Facebook de agotar, intencionalmente, la batería de su celular

La batería de los teléfonos celulares es un factor importante que se tiene en cuenta al momento de adquirir uno de estos productos. Sin embargo, al parecer, esto no se debería únicamente a las marcas, sino que Facebook podría estar agotando la carga.

Un exempleado de Meta dio a conocer que “Facebook puede agotar en secreto las baterías de los teléfonos móviles de sus usuarios”, publicó The New York Post.

Esto se daría por medio de una acción conocida como “prueba negativa”, la cual haría que de manera disimulada se consuma la batería, mientras se prueban funciones o problemas que se darían al momento de la ejecución de la aplicación.

De acuerdo con el científico de datos, George Hayward, él le dijo a su jefe: “‘Esto puede dañar a alguien’, y ella dijo que al dañar a unos pocos podemos ayudar a las masas más grandes”.

Hayward sostiene una demanda en la Corte Federal de Manhattan y dejó de trabajar con la popular red social desde noviembre del año pasado, ya que se habría negado a participar en las que serían las “pruebas negativas”.

El hombre señaló en el citado medio que trabajó en la aplicación Messenger de Facebook, la cual permite a los usuarios enviar mensajes escritos o hacer llamadas telefónicas o videollamadas. Dicha opción es crucial para entablar comunicaciones entre varias naciones.

Impactar en la batería del teléfono celular de cualquier usuario representa un riesgo. Especialmente “en circunstancias en las que necesitan comunicarse con otros, incluidos, entre otros, la Policía u otros rescatistas”, según el litigio presentado contra la empresa matriz de Facebook, Meta Platforms.

“Me negué a hacer esta prueba. Resulta que si le dices a tu jefe: ‘No, eso es ilegal’, no funciona muy bien”, dijo el profesional en declaraciones con The New York Post.

El hombre laboró desde 2019 hasta finales del año pasado con Facebook. En ese sentido, agregó que tiene el desconocimiento de a cuántos usuarios ya les habría afectado las llamadas pruebas negativas de la red social. En adición, no descartó que la plataforma haya ejecutado esto, pues Hayward comentó que recibió un documento de capacitación interna, titulado: “Cómo ejecutar pruebas negativas reflexivas”.

“Nunca he visto un documento más desagradable en mi carrera”, añadió.

Para finalizar, podría pesar que la mayoría de personas no sepan qué reconocidas apps se entrometen en el rendimiento de la batería de los teléfonos celulares de manera “intencionada”, según el abogado de Hayward, Dan Kaiser.

Por ahora, la demanda permanece quieta, porque el exempleado debe ir a arbitraje.

Con información de Europa Press