Un investigador hackea Facebook con un documento de Word
Hackear Facebook es más fácil de lo que parece.
Así lo afirma un investigador egipcio que tan sólo ha necesitado un documento de Word para hackear la red social, demostrando las vulnerabilidades de la red social.
Mohamed Ramadán suele trabajar encontrando fallos en Facebook y comunicándoselos a la compañía para que los solucione -previa obtención de una buena prima gracias al programa de recompensas de la red social.
El error ya ha sido solucionado y Facebook ha recompensado al hacker con 5.300 euros
Es decir, es lo que se conoce como un «hacker ético», que no aprovecha la vulnerabilidad sino que lo que hace es avisar para que nadie pueda realizar un uso fraudulento del agujero de seguridad. Y Facebook le recompensa por ello.
Casos como el suyo hay centenares cada año, pero en esta ocasión lo que llama la atención es lo fácil que era hackear la plataforma: tan sólo era necesario un documento de Word.
En el área de empleo de la red social, «Careers at Facebook», cualquiera puede encontrar un trabajo que quiera solicitar en la compañía y subir su currículum. Aquí sólo se aceptan archivos .pdf o .docx (Word).
Según señala la compañía de seguridad Panda Security en su blog oficial, los .docx tienen la particularidad de ser ficheros comprimidos cuya información interna puede ser modificada si se descomprimen.
Por eso Ramadán cogió un .docx cualquiera y lo descomprimió (utilizando la herramienta 7zip) con la intención de acceder a su código y modificarlo. Concretamente, cambió una línea de código para ordenar a ese documento de Word que siempre, estuviera donde estuviera, se comunicara con un fichero gemelo alojado en el ordenador del investigador.
Para evitar errores, antes de cargar el Word manipulado en el servidor de Facebook, comprobó si era posible obtener algún resultado subiendo ese documento a cualquier otro servidor (concretamente a uno programado por él mismo). Varios minutos después de hacer la prueba, el servidor externo que acababa de crear se intentaba comunicar con su ordenador, así que el de Facebook también lo haría, y efectivamente lo hizo.
Con ese engaño, Mohamed Ramadán forzó a los servidores de Facebook a conectarse con su ordenador utilizando simplemente una hoja de Word. Así pudo entrar en contacto con la información de cualquier persona que hubiera subido su currículum a la plataforma de Facebook, pero también con sus cuentas en la red social y con los ordenadores que esas personas utilizan habitualmente.
Es más, con este engaño, si un empleado de una empresa estuviera entrando a Facebook desde el ordenador de su compañía, un hacker podría haber tenido acceso a los ordenadores de la empresa, y a toda su información confidencial.
Afortunadamente, el experto comunicó el fallo a Facebook y éste ya ha sido resuelto sin mayor problema para los usuarios. Ramadán, por su parte, se ha embolsado 5.300 euros por avisar a la red social.
