Descubre cómo entrar en cualquier cuenta de Facebook

Publicado el 09 marzo 2016 por Emoto

Un Joven ha descubierto cómo entrar en cualquier cuenta de Facebook, usando una funcionalidad integrada en la misma red social.

Anand Prakash es un desarrollador de India que está dando la vuelta al mundo con una nueva entrada en su blog titulada “Cómo podría haber hackeado todas las cuentas de Facebook”.

Lo importante es que en este caso no estamos ante un farol, sino que Prakash realmente encontró un método que le permitía ganar el control de cualquier cuenta de la red social, y Facebook lo ha reconocido.

Buscando el punto débil de Facebook

El método se aprovecha de la funcionalidad ” ¿Olvidaste tu contraseña?”, que está justo debajo del inicio de sesión y que nos permite introducir nuestro correo electrónico o número de teléfono para reiniciar nuestra contraseña de manera segura introduciendo seis dígitos, si por cualquier motivo no nos acordásemos de ella o la hubiésemos perdido.

Prakash decidió atacar por este lado por una sencilla razón: es más fácil resolver una contraseña si tienes la seguridad de que está compuesta de seis dígitos, que si no sabes la longitud ni el tipo de caracteres usados. Es algo irónico, que realmente no importe la fortaleza de nuestra contraseña porque la que sirve para recuperar la cuenta es siempre más débil.

Claro, que en Facebook no son tontos y ya habían pensado en eso, y por eso cuando Prakash realizó un ataque de fuerza bruta, consistente en introducir todas las combinaciones posibles una detrás de otra, fue bloqueado después de entre 10 y 12 intentos.

Cómo un hacker consiguió el método para entrar en cualquier cuenta de Facebook
Pero entonces decidió intentar lo mismo en beta.facebook.com, que como su nombre indica es la versión beta de Facebook, y se sorprendió cuando comprobó que esa limitación no existía, y que podía intentar una combinación tras otra hasta que encontrase la correcta.

Vale, no es el más elegante de los ataques, sólo afecta a la versión beta de Facebook y es posible que se hubiese solucionado tarde o temprano, pero el hecho es que durante un tiempo Prakash tuvo el poder de acceder a cualquier cuenta.

Afortunadamente, Prakash es lo que se conoce como un hacker “white hat” o de sombrero blanco, y avisó a Facebook de esta vulnerabilidad. Al contrario de lo que dicen en las películas, hay varios tipos de hackers y no todos buscan beneficio propio cuando buscan vulnerabilidades.

En agradecimiento a este descubrimiento, Facebook pagó 15.000 dólares a Prakash, lo que no está nada mal “sólo” por probar un ataque de fuerza bruta, que es considerado como el más sencillo de todos. Y antes de que intentes hacer lo mismo, que sepas que Facebook ha arreglado el bug y ya no es posible explotar la funcionalidad ” ¿Olvidaste tu contraseña?” de la misma manera.