El leonés Alfredo Arias, conocido en el mundo virtual como Minipunk o El Internauta de León, ha descubierto un fallo de seguridad en Facebook que permite enviar mensajes privados suplantando la identidad de cualquier usuario.
Según ha explicado, el procedimiento para lograrlo es bastante sencillo y consiste en manipular un formulario web, con remitente, destinatario y mensaje. Para ello, se busca en los datos del perfil una dirección de correo electrónico vinculada a Facebook, se elige el nombre del usuario que recibirá el mensaje y se rellena el formulario.
La información enviada, ha apuntado, no se identifica como un correo electrónico y aparecerá como un mensaje privado de uno de tus contactos. En una de sus pruebas, enviadas a su propia cuenta de Facebook para denunciar la vulnerabilidad y que están publicadas en su blog se hace pasar, entre otros, por el secretario general autonómico del PSOE de Castilla y León, el senador Óscar López, con el texto:
Puedo pedirte el voto para un partido. Puedo promover la venta de un producto. Puedo fingir que tu pareja es infiel. Siendo quien soy es fácil que me creas
Arias ha precisado que hay algunas cuentas como las de gmail y hotmail que tienen previstos mecanismos de seguridad y muestran una advertencia (solo visible en la web, no en los terminales móviles) pero que en las de la mayoría de las empresas, por ejemplo, no ocurre lo mismo.
Si yo tengo una casa rural y me he registrado con el correo electrónico de la casa, te va a mostrar mi nombre, mi cara y no te va a avisar. ¿Y si invito a todo el mundo a pasar un fin de semana gratis? Se crea un problema muy grave
La denuncia del internauta, que es noticia destacada, fue recogida por el Instituto Nacional de Tecnologías de la Comunicación (INTECO).
Según sus investigaciones no se trata tanto de un fallo de seguridad sino de un problema que puede afectar a los usuarios que tengan habilitada la funcionalidad de correo en Facebook y que por tanto dispongan de una cuenta del tipo usuario@facebook.com.
Esos usuarios serían los que podrían recibir correos suplantando el perfil de otros usuarios de la red social, teniendo en cuenta que es un problema que podemos encontrar en cualquier otro servicio de correo
También hay que considerar, explican desde INTECO, que aunque a día de hoy no se tiene constancia de campañas fraudulentas que estén utilizando este método, la facilidad de su uso abre la puerta a todo tipo de usuarios con intenciones deshonestas.
INTECO ha publicado un aviso de seguridad sobre la posibilidad de suplantación de identidad en el servicio de correo de Facebook.
Más Información | El internauta de León
