¡Tu cuenta de Facebook está en peligro, protegela!

Hackear una cuenta de Facebook es una de las más laboriosas tareas que se pueden hacer en internet hoy en día. Es difícil encontrar alguna forma de hacerlo, pero los investigadores han probado que se puede tomar el control de una cuenta de esta red social con sólo el número telefónico de la víctima y algunas habilidades.

Si, como lo acabas de leer, tu cuenta puede ser hackeada, sin importar que tan fuerte sea tu contraseña o cuantas medidas de seguridad extra hayas tomado. ¡En serio!

Los atacantes que tengan habilidades suficientes para explotar la red SS7 pueden hackear tu cuenta. Todo lo que necesitan es tu número de teléfono.

El punto débil en la parte de la red global de telecomunicaciones SS7 no sólo deja a los hackers y a agencias de espionaje escuchar tus llamadas personales e interceptar mensajes de texto a una escala masiva pero también les deja secuestrar las redes sociales donde hayas suministrado tu número de teléfono.

SS7 o sistema de señalización número 7 es un protocolo de señalización telefónica que es usado por más de 800 proveedores de telefonía alrededor del mundo para intercambiar información entre sí, facturar entre operadoras, habilitar el Roaming y otras características.

Sin embargo, un error en la red SS7 es que confía en los mensajes de texto enviados a través de ella independientemente de su origen. Por eso, los intrusos maliciosos pueden trucar para que redirijan los mensajes y llamadas de teléfono a sus propios dispositivos.

Todo lo que necesitan es el número de la víctima y algunos detalles del dispositivo de la misma para iniciar a fisgonear silenciosamente.

Los investigadores de Positive Technologies, quienes recientemente mostraron como podían piratear cuentas de WhatsApp y de de Telegram, ahora dieron una demostración de una vulnerabilidad de Facebook usando trucos similares, reportó Forbes.

Se lleva mucho tiempo sabiendo que SS7 es vulnerable, a pesar de tener la encriptación más avanzada usada en redes celulares. Las fallas de diseño de SS7 han estado en circulación desde 2014 cuando el equipo de investigadores de German Security Research Labs las alertaron al mundo.

Pero… ¿Cómo es el proceso?

El hacker primero necesita clickear en “¿olvidó su contraseña?” en la página principal de Fb. Luego, cuando le pidan el email o número celular asociado a la cuenta, este necesita proporcionar el número real de la víctima.

El atacante desvía el SMS que contiene una contraseña de un solo uso (OTP según sus siglas en inglés) a su propia computadora o teléfono y ya pueden acceder a la cuenta de la victima.

El error afecta a todos los usuarios de Facebook que hayan registrado su número telefónico y tengan los mensajes de texto de la red social habilitados.

Por otra parte, el trabajo de los investigadores de Facebook muestra que cualquier servicio incluyendo Gmail y Twitter, que use mensajes de texto para verificar las cuentas de los usuarios les deja las puertas abiertas a los hackers para atacar.

Aunque los operadores de red no pueden parchar el agujero pronto, hay algunas cosas que los usuarios de Smartphones pueden hacer.

No linkeen su número de teléfono a redes sociales, más bien deberían confiar solamente en sus emails para recuperar sus cuentas de Fb u otras redes.

Usen autenticación de 2 pasos que no use mensajes de texto para recibir códigos.

Usen apps de comunicación que ofrezcan encriptación end-to-end para encriptar tu data antes de que salga de tu teléfono.

Aclaración

Sin embargo, la parte importante del artículo es que la seguridad de Facebook o de cualquier otro sitio web no puede hacer nada contra este problema, en vez de eso, se debe a la debilidad en la red de telecomunicaciones

“Porque esta técnica (explotación SSL) requiere de una significativa inversión técnica y financiera, la falla representa un riesgo muy bajo para la mayoría de las personas, alegó un portavoz de Facebook
“Como una precaución extra, recomendamos activar la autenticación de 2 pasos y la aprobación de logeos mediante llamadas en los ajustes de seguridad de tu cuenta. Hacer esto deshabilitará la recuperación por SMS por ende si alguien tiene tu número, seguirá necesitando tu contraseña para poder acceder.