Cómo un hacker hackeó una cuenta de Facebook con un SMS

Un investigador de seguridad web del Reino Unido conocido por el nombre de “fin1te” ha ganado 20.000 dólares después de descubrir una forma de hackear cualquier cuenta en Facebook con sólo enviar un mensaje de texto desde tu teléfono móvil.

Esto debería ser imposible, pero debido a una debilidad en la jerarquía enmarañada de millones y millones de líneas de código en Facebook, siempre se escapa algo y estos agujeros crean potencialmente cientos de millones de cuentas vulnerables a ser hackeadas a través de una técnica tan simple.

Fin1te, el hacker

Fin1te (cuyo nombre nombre real es Jack Whitten) ha documentado cómo funcionaba su técnica para hackear Facebook en su Blog sobre hacking.

Lo primero que debe hacerse es enviar la letra “F” en un mensaje SMS a Facebook, como si estuviera registrando legítimamente su teléfono móvil con la red social. En el Reino Unido, el código corto de SMS para Facebook es 32665. En función de los países este código varía.

Hecho esto, Facebook responde a través de SMS con un código de confirmación de ocho caracteres.

La secuencia normal de los acontecimientos sería entrar con ese código de confirmación en Facebook y seguir con el proceso de verificación de la cuenta, pero el hacker fin1te descubrió que existía una vulnerabilidad en ese formulario, que podía ser explotada para utilizar el código de confirmación que había sido enviado por Facebook a través de un SMS con cualquier cuenta de cualquier usuario.

Lo que fin1te había descubierto era que uno de los elementos del formulario de activación móvil contenía, como parámetro, el ID del perfil del usuario. Ese es el número único asociado a la cuenta de cualquier persona que tiene un perfil en Facebook.

El truco consistía en cambiar el ID de perfil que se enviaba por ese formulario a Facebook, y la red social podía ser engañada haciéndola creer que era cualquier otra persona la que estaba enlazando un teléfono móvil a su cuenta (en función del ID que el hacker pusiese).

Por lo tanto, el primer paso necesario para hackear la cuenta de alguien de esta forma requería conocer el perfil de identificación de la víctima, el ID.

Encontrar el ID de un usuario de Facebook es tan sencillo como revisar el código fuente o usar cualquiera de los servicios online que existen para ello. Buscando “id de facebook” en Google encontrarás muchos servicios web gratuitos.

Hackeando un perfil de Facebook

Efectivamente, fin1te fue capaz de reemplazar el parámetro ID de perfil enviado por su navegador hacia Facebook con el número único de la cuenta de que quería hackear, y en cuestión de segundos a su teléfono móvil se le envió un SMS confirmando que había conectado correctamente el dispositivo a la cuenta.

¡Éxito! Había logrado que una cuenta de Facebook de un desconocido ahora tuviese un número de teléfono móvil de una tercera persona (el hacker) asociada a ella. Sin ninguna necesidad de malware o phishing. Todo lo que se hizo fue enviar un mensaje de texto SMS.

La etapa final del hackeo de la cuenta es sencillo. Facebook te permite iniciar sesión en tu sistema usando tu número de móvil en lugar de una dirección de correo electrónico, por lo que al iniciar la sesión se introduce el número de teléfono móvil que ha asociado a la cuenta de la víctima, y ​​una vez ahí sólo debes solicitar un restablecimiento de contraseña a través de otro SMS.

Así de fácil. Fin1te descubrió que Facebook le envió el código de restablecimiento de contraseña para la cuenta – lo que significa que podría cambiar la contraseña de la cuenta y bloquear al usuario legítimo.

La buena noticia es que fin1te dio a conocer la vulnerabilidad de forma responsable a Facebook, en lugar de explotar este hack con intenciones maliciosas o venderlo a otras personas en el mercado negro. Facebook ya ha solucionado el problema para que otros usuarios no puedan aprovecharse de este agujero de seguridad tan grave. Por sus méritos, el hacker fue galardonado por Facebook con un premio de 20.000 dólares; pero no hay duda de que en el mercado subterráneo, tal vez vendida a delincuentes o agencias de inteligencia como el FBI, el descubrimiento de fin1te podría haber valido cifras mucho más altas.

¿Quién sabe qué otras vulnerabilidades de seguridad graves pueden existir dentro de Facebook que no se han reportado de manera responsable al equipo de seguridad de la empresa? Actualmente en 2023 Facebook siempre lanza antes una fase beta de Facebook para un público específico que se ocupa de intentar detectar fallas de seguridad, por lo que cuando se detectan vulnerabilidades nunca llegan a localizarse en la versión actual y usada de Facebook.