Una madre de Georgia y sus dos hijas iniciaron sesión en Facebook desde teléfonos móviles el fin de semana pasado y terminaron en un lugar sorprendente: cuentas de extraños con acceso total a grandes cantidades de información privada. El problema: el resultado de un problema de enrutamiento en el fEl proveedor de servicios inalámbricos de mi familia, AT&T. – reveló una falla de seguridad poco conocida con implicaciones de gran alcance para todos en Internet, no solo para los usuarios de Facebook.
En cada caso, Internet perdió la pista de quién era quién, colocando a las mujeres en cuentas equivocadas. No parece que los usuarios pudieran haber hecho nada para detenerlo. El problema añade una dimensión a las advertencias de los investigadores de que hay muchas maneras en que la información en línea (desde datos mundanos hasta secretos oscuros) puede salir mal.
Vídeos recomendados
Varios expertos en seguridad dijeron que no habían oído hablar de un caso como este, en el que a la persona equivocada se le mostró una página web cuyo nombre de usuario y contraseña habían sido ingresados por otra persona. No está claro si estos episodios son raros o simplemente no se informan. Pero los expertos dijeron que tales fallas podrían ocurrir en los servicios de correo electrónico, por ejemplo, y que algo similar podría suceder en una PC, no sólo en un teléfono.
Relacionado
- Cómo crear múltiples perfiles para tu cuenta de Facebook
- ¿Qué es un píxel de Facebook? La herramienta de seguimiento de Meta, explicada
- Los nuevos controles de Facebook ofrecen más personalización de tu Feed
"El hecho de que haya sucedido es una prueba de que potencialmente podría volver a suceder y con algo mucho más importante que Facebook”, dijo Nathan Hamiel, fundador de Hexagon Security Group, una empresa de investigación organización.
Candace Sawyer, de 26 años, dice que inmediatamente sospechó que algo andaba mal cuando intentó visitar su página de Facebook el sábado por la mañana.
Después de escribir Facebook.com en su teléfono inteligente Nokia, fue llevada al sitio sin que se le pidiera su nombre de usuario o contraseña. Estaba en una cuenta que no se parecía a la suya. Tenía menos solicitudes de amistad de las que recordaba. Luego encontró una foto del dueño de la página.
“Él es blanco, yo no”, dijo riendo.
Sawyer se desconectó y le preguntó a su hermana Mari, de 31 años, su socia en una empresa de catering de postres, y a su madre, Fran, de 57 años, para ver si tenían el mismo problema en sus teléfonos. Mari aterrizó dentro de la página de otra mujer.
El teléfono de Fran, que nunca antes se había utilizado para acceder a Facebook, la llevó a la página de otro extraño, una perteneciente a una joven de Indiana. Enviaron un correo electrónico a una de sus propias cuentas para demostrarlo. Quedaron estupefactos.
"Pensé que era el teléfono: 'Tal vez este teléfono es simplemente raro y hace cosas mágicas y horribles y tengo que deshacerme de él'", dijo Candace Sawyer.
Las mujeres, que viven juntas en East Point, Georgia, en las afueras de Atlanta, habían actualizado recientemente al mismo modelo de teléfono y todas usaban el mismo proveedor, AT&T.
Sawyer se puso en contacto con The Associated Press después de informar del problema a Facebook y AT&T. El problema no estaba en los teléfonos. Fue una falla en la infraestructura que conecta los teléfonos a Internet. Esto ilumina un grave problema.
Generalmente los sitios web y las computadoras se ven comprometidos desde adentro. Un pirata informático puede hacer que una página web o computadoras ejecuten código de programación que no deberían. Pero en este caso, fue una brecha de seguridad entre el teléfono y el sitio web lo que expuso a los Sawyer las páginas de Facebook de extraños. Equipos mal configurados, software de red mal escrito u otros errores técnicos podrían haber causado que AT&T alterara la información que fluye desde los teléfonos de los Sawyer a Facebook y viceversa.
Afortunadamente, dijo Hamiel, la vulnerabilidad sería de utilidad limitada para un hacker interesado en provocar un caos generalizado, porque este agujero le permitiría acceder sólo a una cuenta a la vez. Para causar más daño, el delincuente tendría que lograr la improbable hazaña de obtener el control total del equipo que dirige el tráfico de Internet a los usuarios individuales.
El portavoz de AT&T, Michael Coe, dijo que sus clientes de servicios inalámbricos han accedido a páginas de Facebook equivocadas en "un número limitado de casos" y que se está solucionando un problema de red detrás de esos episodios.
Los Sawyers experimentaron un problema técnico diferente. Coe dijo que una investigación apunta a una "cookie mal dirigida". Una cookie es un archivo que algunos sitios web colocan en las computadoras. para almacenar información de identificación, incluido el nombre de usuario que los miembros de Facebook ingresarían para acceder a su páginas. Coe dijo que los técnicos no pudieron entender cómo la cookie había sido enrutada al teléfono equivocado, conduciéndola a la cuenta de Facebook equivocada.
También dijo que AT&T sólo pudo confirmar que el problema ocurrió en uno de los teléfonos de los Sawyer, posiblemente porque habían cerrado sesión en Facebook en los otros dos antes de informar el incidente. Facebook se negó a hacer comentarios y remitió las preguntas a AT&T.
Algunos sitios web serían inmunes a este tipo de confusión, particularmente aquellos que utilizan cifrado. Un navegador web tendría problemas para descifrar el cifrado de una página que un usuario de computadora en realidad no buscó, dijo Chris Wysopal, cofundador de Veracode Inc., una empresa de seguridad.
Los sitios confidenciales y los utilizados para banca y comercio electrónico generalmente utilizan cifrado. Pero la mayoría de los demás sitios, incluidos algunos servicios de correo electrónico basados en la web, no lo utilizan. Una forma de comprobarlo: las direcciones web de los sitios cifrados comienzan con "https" en lugar de "http". Facebook utiliza cifrado cuando Se ingresan nombres de usuario y contraseñas para ocultar el inicio de sesión de los fisgones, pero después de ingresar las credenciales, el cifrado es abandonó.
No está claro cuántas personas se vieron afectadas por el problema que descubrieron los Sawyers y si se limitó a Facebook.
La razón por la que las tres mujeres experimentaron el problema técnico es la forma en que están diseñadas las redes celulares. En algunos casos, todo el tráfico de Internet móvil para un área particular se enruta a través del mismo equipo de red. Si ese equipo se comporta mal o está configurado incorrectamente, suceden cosas extrañas cuando las computadoras reciben los datos.
Por lo general, eso significa que un sitio web simplemente no se carga, dijo Alberto Solino, director de servicios de consultoría de seguridad de Core Security Technologies. En el caso de los Sawyer, “de alguna manera consiguieron el usuario equivocado pero pudieron seguir usando esa cuenta durante un largo período de tiempo. Eso es lo extraño”, dijo.
La AP intentó contactar a dos de las personas. cuyas páginas de Facebook fueron expuestas a los Sawyer, pero las llamadas y los correos electrónicos no fueron respondidos. No está claro si también son clientes de AT&T, aunque los expertos en seguridad dijeron que probablemente sea así.
De hecho, así ocurrió en un incidente similar ocurrido en noviembre. Stephen Simburg, de 25 años, que trabaja en marketing, estaba en su casa para el Día de Acción de Gracias en Vancouver, Washington, cuando inició sesión en Facebook desde su teléfono celular. No reconoció a las personas que le habían escrito mensajes.
“Pensé que de repente me había vuelto muy popular o que algo andaba mal”, dijo. Luego vio la foto de la dueña de la cuenta: una mujer joven. Obtuvo su dirección de correo electrónico del sitio, se desconectó y le escribió un mensaje a la mujer. Le preguntó si la había conocido en algún momento y ella le había prestado el teléfono para comprobar su cuenta de Facebook.
“No”, respondió ella, “¡pero justo le estaba contando a mi familia que terminé en tu perfil!”
Simburg y la mujer descubrieron que ambos estaban usando AT&T para acceder a Facebook en sus teléfonos. (AT&T no hizo comentarios porque el incidente no fue informado a la empresa).
“Sentí que la compañía telefónica y Facebook me habían decepcionado”, dijo. Dice que ha dejado atrás el incidente. Pero queda una parte: él y la joven ahora son amigos en Facebook.
Recomendaciones de los editores
- Cómo configurar tu feed de Facebook para que muestre las publicaciones más recientes
- Los carretes están a punto de aparecer en otra función de Facebook
- Meta encontró más de 400 aplicaciones móviles 'diseñadas para robar' inicios de sesión de Facebook
- ¿Cuándo es el mejor momento para publicar en Facebook?
- Ahora puedes usar el stickers Agrega el tuyo en Reels para Facebook e Instagram
