Si hay algo que reconocerle a
Zuckerberg es su brillantez a la hora de interpretar los deseos de las
usuarias. Así como fue capaz de notar que las usuarias estaban
interesadas en conocer información de sus amigas y conocidas, fue capaz
de notar que la vaya a cruzar en el 2009 era incorporar un chat en
Facebook, luego los scrolls de noticias y otras medidas entre las que
estuvo la que nos convoca hoy. Estas medidas son en mi opinión las que
han hecho que Facebook no desaparezca, algo que además venimos por un
lado esperando muchas y por otro prediciendo otras.
Cuando Facebook se orientó descaradamente a recolectar información de
las personas y la we intentó sacar provecho de todo esto, Zuckerberg
dio acceso, porque no tenía alternativa, pero no la posibilidad ni de
tener todos los datos que la red antisocial sí almacena, ni de poder
extraerlos de sus servidores. Allí apareció el “loguearte con Facebook”
como opción en los sitios. Esta medida produjo que los sitios webs no
tuvieran control sobre sus usuarias, pero Facebook sí. Es interesante
cómo en ese sentido es clara la decisión de Zuckerberg de “reemplazar”
internet, algo que no logró y a la luz de los últimos rumbos de la
empresa tampoco logrará o incluso ya ha abandonado para incorporar
proyectos como Internet.org.
Egor Homakov es una hacker especialista en seguridad y testeos de
penetración de la empresa “Sakurity” y ha descubierto una vulnerabilidad
que permite a atacantes maliciosas tomar el control de cuentas de
Facebook que usen la función “Loguearse con Facebook” disponible en
sitios web. El fallo no permite a las crackers acceder a tu contraseña,
pero sí les deja entrar a tu cuenta utilizando una aplicación
desarrollada por sitios web de terceras (que en este caso, son todos los
sitios que no sean Facebook).
Homakov denunció esta vulnerabilidad hace más de un año, pero tras la
inacción de la empresa decidió publicar en su blog un post bastante
detallado en el que describe la vulnerabilidad como una CSRF (Cross-Site
Request Forgery) y adjunta una app llamada “Reconnect” -de su propia
cosecha- que además es libre y que puede usarse para explotar el error:
“RECONNECT es una herramienta lista para secuestrar
cuentas en los sitios web con ‘Logueate con Facebook’, por ejemplo
Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable.com,
Vimeo y muchos otros. Sentite libre de copiar y modificar el código
fuente. Facebook se negó a solucionar este problema hace un año, por
desgracia, es el momento de llevarlo al siguiente nivel y regalar esta
sencilla herramienta”.
¿Qué es un error CSRF?
Es una falsificación que termina obligando a las usuarias a hacer
algo que no es exactamente lo que quieren hacer o esperan que suceda. La
usuaria final es engañada para hacer click en un enlace con el que
adquieren poder sobre tu sesión de Facebook.
¿Cómo protegerse?
Bueno, igual que con todo: comprobando la veracidad de los enlaces
que uses, nunca usar tu cuenta para loguearte en sitios de terceras y en
lo posible dejando de usar Facebook.
Autor Pablo Lozano
