Meta paga 27.000 dólares a un 'hacker' que descubrió un error básico que debilitaba la seguridad de tu cuenta de Facebook

Un hacker nepalí llamado Gtm Mänôz halló en Meta una vulnerabilidad con la que era posible debilitar la seguridad de las cuentas de usuarios de Facebook, concretamente desactivando la autenticación de múltiple factor —el SMS que se recibe con un código a introducir en la plataforma para iniciar sesión o hacer cambios importantes en la cuenta—.

Por ese hallazgo, Meta ha recompensado a este investigador en ciberseguridad con 27.200 dólares, como parte de su programa de recompensas por divulgación responsable de vulnerabilidades. Muchos hackers encuentran en este tipo de incentivos unos ingresos extra, e incluso algunos de ellos han convertido esta caza de recompensas en su modo de vida participando en las bug bounties.

La vulnerabilidad se encontró en el Centro de Cuentas de Meta, una nueva plataforma centralizada con la que los usuarios pueden gestionar de manera conjunta sus credenciales de acceso para las redes sociales que posee la multinacional fundada por Mark Zuckerberg, a saber, Facebook e Instagram.

Normalmente, cuando un usuario intenta iniciar sesión en una cuenta que tiene la autenticación de múltiple factor activada, antes de acceder a la cuenta verá una pantalla en la que deberá introducir el código que la plataforma le envíe por SMS o por otra vía. Mänôz detectó que en el Centro de Cuentas de Meta no había límite para introducir ese código.

Facebook lanza una herramienta para borrar tu número de teléfono de la plataforma, pero no la promociona y no funciona bien en España

En muchos servicios, si introduces una contraseña o un código varias veces de forma errónea, el sistema, de forma preventiva, te bloquea y alerta al usuario de que alguien ha intentado acceder a su cuenta. Ese límite no existía en el Centro de Cuentas de Meta, con lo que Mänôz solo tuvo que tratar de adivinar los códigos enviados por SMS por la fuerza bruta.

Por supuesto, esta vulnerabilidad solo existe en el caso de que el hipotético atacante conozca el número de teléfono de su víctima. Pero de salir bien, "el mayor impacto implica revocar el factor de doble autenticación de cualquiera solo conociendo su número", enfatizaba el propio Mänôz en unas recientes declaraciones a TechCrunch.

Una vez desactivado ese factor de doble autenticación, el atacante lo tendría muy fácil para tratar de reventar la cuenta de su víctima, enviándole por ejemplo un correo o un SMS fraudulento —phishing— para tratar de conseguir la credencial, y de esta manera elevar su ataque.

El doble factor de autenticación es una característica clave para el futuro fin de las contraseñas, uno de los principales factores de riesgo en el mundo de la seguridad informática.

Esta vulnerabilidad podía resultar evidente: el mero hecho de comprobar que en el Centro de Cuentas de Facebook no existía un límite para introducir códigos erróneos en el doble factor de autenticación estaba ahí, a la vista de cualquiera. Mänôz fue el primero en darse cuenta de ello y por eso ha recibido una remuneración de más de 25.000 euros.

Por su parte, un portavoz de Meta ha defendido en declaraciones también a TechCrunch que en el momento en el que se detectó esa vulnerabilidad el sistema para iniciar sesión en el nuevo Centro de Cuentas de la compañía todavía estaba "en fase beta", y no se ha detectado que nadie previamente al hallazgo hubiese intentado aprovecharse del error.