Un investigador hackea Facebook con un documento de Word

facebook-shatterHackear Facebook es más fácil de lo que parece.

Así lo afirma un investigador egipcio que tan sólo ha necesitado un documento de Word para hackear la red social, demostrando las vulnerabilidades de la red social.

Mohamed Ramadán suele trabajar encontrando fallos en Facebook y comunicándoselos a la compañía para que los solucione -previa obtención de una buena prima gracias al programa de recompensas de la red social.

Es decir, es lo que se conoce como un «hacker ético», que no aprovecha la vulnerabilidad sino que lo que hace es avisar para que nadie pueda realizar un uso fraudulento del agujero de seguridad. Y Facebook le recompensa por ello.

Casos como el suyo hay centenares cada año, pero en esta ocasión lo que llama la atención es lo fácil que era hackear la plataforma: tan sólo era necesario un documento de Word.

En el área de empleo de la red social, «Careers at Facebook», cualquiera puede encontrar un trabajo que quiera solicitar en la compañía y subir su currículum. Aquí sólo se aceptan archivos .pdf o .docx (Word).

Según señala la compañía de seguridad Panda Security en su blog oficial, los .docx tienen la particularidad de ser ficheros comprimidos cuya información interna puede ser modificada si se descomprimen.

Por eso Ramadán cogió un .docx cualquiera y lo descomprimió (utilizando la herramienta 7zip) con la intención de acceder a su código y modificarlo. Concretamente, cambió una línea de código para ordenar a ese documento de Word que siempre, estuviera donde estuviera, se comunicara con un fichero gemelo alojado en el ordenador del investigador.

Para evitar errores, antes de cargar el Word manipulado en el servidor de Facebook, comprobó si era posible obtener algún resultado subiendo ese documento a cualquier otro servidor (concretamente a uno programado por él mismo). Varios minutos después de hacer la prueba, el servidor externo que acababa de crear se intentaba comunicar con su ordenador, así que el de Facebook también lo haría, y efectivamente lo hizo.

Con ese engaño, Mohamed Ramadán forzó a los servidores de Facebook a conectarse con su ordenador utilizando simplemente una hoja de Word. Así pudo entrar en contacto con la información de cualquier persona que hubiera subido su currículum a la plataforma de Facebook, pero también con sus cuentas en la red social y con los ordenadores que esas personas utilizan habitualmente.

Es más, con este engaño, si un empleado de una empresa estuviera entrando a Facebook desde el ordenador de su compañía, un hacker podría haber tenido acceso a los ordenadores de la empresa, y a toda su información confidencial.

Afortunadamente, el experto comunicó el fallo a Facebook y éste ya ha sido resuelto sin mayor problema para los usuarios. Ramadán, por su parte, se ha embolsado 5.300 euros por avisar a la red social.

Manuel Moreno

Periodista y director de TreceBits. Experto en Redes Sociales, Internet y Tecnología. Formador y conferenciante. Colaborador en prensa, radio y TV. Autor de cinco libros de Social Media. Más información en manuelmoreno.es

Deja un comentario

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: TreceBits S.L. (TreceBits)
Finalidad: Que puedan comentar las noticias publicadas
Legitimación: Consentimiento del interesado. Satisfacción del interés legítimo del Responsable.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: [email protected].
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.