Un investigador hackea Facebook con un documento de Word

facebook-shatterHackear Facebook es más fácil de lo que parece.

Así lo afirma un investigador egipcio que tan sólo ha necesitado un documento de Word para hackear la red social, demostrando las vulnerabilidades de la red social.

Mohamed Ramadán suele trabajar encontrando fallos en Facebook y comunicándoselos a la compañía para que los solucione -previa obtención de una buena prima gracias al programa de recompensas de la red social.

El error ya ha sido solucionado y Facebook ha recompensado al hacker con 5.300 euros

Es decir, es lo que se conoce como un «hacker ético», que no aprovecha la vulnerabilidad sino que lo que hace es avisar para que nadie pueda realizar un uso fraudulento del agujero de seguridad. Y Facebook le recompensa por ello.

Casos como el suyo hay centenares cada año, pero en esta ocasión lo que llama la atención es lo fácil que era hackear la plataforma: tan sólo era necesario un documento de Word.

En el área de empleo de la red social, «Careers at Facebook», cualquiera puede encontrar un trabajo que quiera solicitar en la compañía y subir su currículum. Aquí sólo se aceptan archivos .pdf o .docx (Word).

Según señala la compañía de seguridad Panda Security en su blog oficial, los .docx tienen la particularidad de ser ficheros comprimidos cuya información interna puede ser modificada si se descomprimen.

Por eso Ramadán cogió un .docx cualquiera y lo descomprimió (utilizando la herramienta 7zip) con la intención de acceder a su código y modificarlo. Concretamente, cambió una línea de código para ordenar a ese documento de Word que siempre, estuviera donde estuviera, se comunicara con un fichero gemelo alojado en el ordenador del investigador.

Para evitar errores, antes de cargar el Word manipulado en el servidor de Facebook, comprobó si era posible obtener algún resultado subiendo ese documento a cualquier otro servidor (concretamente a uno programado por él mismo). Varios minutos después de hacer la prueba, el servidor externo que acababa de crear se intentaba comunicar con su ordenador, así que el de Facebook también lo haría, y efectivamente lo hizo.

Con ese engaño, Mohamed Ramadán forzó a los servidores de Facebook a conectarse con su ordenador utilizando simplemente una hoja de Word. Así pudo entrar en contacto con la información de cualquier persona que hubiera subido su currículum a la plataforma de Facebook, pero también con sus cuentas en la red social y con los ordenadores que esas personas utilizan habitualmente.

Es más, con este engaño, si un empleado de una empresa estuviera entrando a Facebook desde el ordenador de su compañía, un hacker podría haber tenido acceso a los ordenadores de la empresa, y a toda su información confidencial.

Afortunadamente, el experto comunicó el fallo a Facebook y éste ya ha sido resuelto sin mayor problema para los usuarios. Ramadán, por su parte, se ha embolsado 5.300 euros por avisar a la red social.

Manuel Moreno

Periodista y fundador de TreceBits. Consultor y formador en Social Media. Ponente y conferenciante. Profesor de redes sociales y periodismo 2.0. Colaborador en prensa, radio y TV. Autor de cuatro libros de Social Media. Más información en manuelmoreno.es

23 comentarios sobre “Un investigador hackea Facebook con un documento de Word

  • el 21/03/2015 a las 00:03
    Permalink

    ¿Solo 5300€ ? Menuda limosna……

  • el 24/05/2015 a las 03:30
    Permalink

    increible, nunca me esperaria que con un word se pùdiese llegar a hacer algo asi

  • el 20/09/2015 a las 13:48
    Permalink

    no se lo veo dificil con un documento de word se puede hackear el facebook ??

  • el 17/10/2015 a las 00:50
    Permalink

    Olle muy bueno es post lo recomiendo, se tambien uno de hack para clash of clans

  • el 17/10/2015 a las 00:51
    Permalink

    muy bueno amigo, si quieres un hack de dragon city !

  • el 02/12/2015 a las 12:51
    Permalink

    Yo tambien opino lo mismo muy poco dinero, Pero bueno..

  • el 03/04/2016 a las 05:00
    Permalink

    facebook a dia de hoy es dificil hackear aunque eh visto varios sistemas que funcionan

  • el 03/04/2016 a las 08:43
    Permalink

    un buen hacker puede entrar en cualquier sistema informatico.

  • el 17/05/2016 a las 15:33
    Permalink

    Yo les ubiera pedido mas recompensa !!

  • el 06/08/2016 a las 17:06
    Permalink

    Si es tan sencillo hackear cuentas de facebook, que hasta se puede hacer con word, no se que pensar sinceramente de las personas que merodean las redes sociales, ya que me da entender de que cualquiera con un poco de conocimiento y tiempo puede llegar a hackear cuentas de facebook

  • el 29/09/2016 a las 12:04
    Permalink

    Me resulta muy raro ver ese tipo de errores en facebook, pero lo increible es que tienen un gran conocimiento con pequeñas herramientas como un word puedes «hackear facebook»….

  • el 01/01/2017 a las 19:39
    Permalink

    Cualquier sistema programado por el hombre, puede ser hackeado por otro hombre. 🙂

  • el 13/03/2017 a las 20:48
    Permalink

    Excelente amigo nunca lo habia creido

  • el 03/01/2020 a las 01:20
    Permalink

    A veces tambien se puede hackear con una imagen maliciosa, que oculta un virus en sus bytes

  • el 07/02/2020 a las 08:17
    Permalink

    Vaya, los servidores si que son el punto débil de casi la mayoría de sistemas que existe. Eso representa un peligro para quienes aún poseen información sensible en sus cuentas de Facebook.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información sobre protección de datos

  • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
  • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.
  • Legitimación: Consentimiento del interesado.
  • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de HOST EUROPE IBERIA S.L.U. (proveedor de hosting de TreceBits. HOST EUROPE IBERIA S.L.U. está ubicado en UE, en España un país cuyo nivel de protección son adecuados según la Comisión de la UE. Ver política de privacidad de HOST EUROPE IBERIA S.L.U.
  • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@trecebits.comasí como el derecho a presentar una reclamación ante una autoridad de control.
  • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.