Descubren cómo 'hackear' los enlaces en Facebook para tenderte una trampa
Cuando navegamos por Facebook y un enlace llama nuestra atención, una de las primeras cuestiones en la que nos fijamos para comprobar su veracidad es su procedencia. Ver que pertenece a una web que conocemos o nos parece fiable nos dará garantías. Aunque, por desgracia, no siempre será cierto. El experto en ciberseguridad Barak Tawily, de 24 años, ha descubierto cómo enlaces de Facebook que parecen fiables pueden ser fraudulentos, lo cual pone en riesgo al usuario y cuestiona la seguridad de la red social, a pesar de los esfuerzos de la compañía por acabar con estas prácticas.
Hace más de un año, Facebook permitía cambiar el título, la descripción o la imagen de una publicación que se compartía en la red social. Esto daba lugar a una proliferación alarmante de contenido fraudulento, lo que llevó al equipo de Mark Zuckerberg a limitar estas ediciones en julio de este mismo año. “A partir de hoy, las páginas que no pertenezcan a editores no podrán reemplazar los metadatos de los enlaces (como el título, la descripción, o la imagen) en la API (término que se refiere en inglés a la interfaz de programación de aplicaciones) o en el editor de páginas”, anunciaba la compañía. Sin embargo, quedaba una excepción para colar 'spam': las páginas de editores.
Algo que también cambiaron recientemente. “A partir del 12 de septiembre, las páginas de los editores solo pueden editar enlaces de dominios de sitios web que hayan autorizado con la herramienta de propiedad de enlaces”, explicaban desde el servicio de ayuda de Facebook para empresas. Aun así, parece que el problema no está solucionado. Y lo más curioso es que se debe a la forma en que la propia compañía ha configurado la inserción de enlaces.
Como cuenta el investigador en su blog, cuando un usuario pega un enlace en su muro o lo envía a través de Facebook Messenger, un 'bot' llamado Facebook External Hit extrae los datos relevantes del código HTML [el lenguaje en el que se diseñan las webs] y genera una vista previa con imagen, título, descripción y dominio de origen.
Tras indagar en su funcionamiento interno, Tawily encontró la clave para engañar a los usuarios. “El 'bot' de Facebook busca etiquetas HTML específicas, algunas son las conocidas como ‘meta’, concretamente con los valores ‘og: url’, ‘og: image’ y ‘og: title’”, explica. Estas metaetiquetas incluyen la información sobre el autor, el título, las palabras clave o la URL que se insertan en el encabezado de una página web y, aunque resultan invisibles para un visitante normal, son de gran utilidad para el posicionamiento en buscadores (el famoso SEO).
Según el análisis de Tawily, Facebook no valida si el enlace mencionado en la metaetiqueta 'og: url' es igual que la URL de la página. Así, es posible abusar de esta característica a través de metaetiquetas elaboradas. “En caso de que alguien suministre a Facebook una URL que lleve a un HTML con los etiquetas modificadas con datos falsos de otro sitio web (por ejemplo, YouTube), los datos de vista previa se verán como una canción de YouTube, pero el enlace real llevará a las víctimas a la URL que contiene el HTML malicioso”, detalla Tawily.
Este error permite a cualquier persona crear una URL personalizada simplemente editando las metaetiquetas de su web antes de publicar el enlace en la red social.
Facebook no lo considera un problema
Cuando Tawily se percató del problema, él mismo contactó con la red social para informarles del error. Sin embargo, se encontró que desde la compañía negaban que esto entrañase un problema de seguridad. “Facebook incluye contenido generado por el usuario, por lo que la capacidad de inyectar contenido en una página, incluso en facebook.com, es una vulnerabilidad de muy bajo riesgo. Consideramos que los errores de suplantación de contenido como este son de bajo riesgo y de bajo impacto”, respondieron los de Zuckerberg.
Además le aseguraron a Tawily que todos los enlaces publicados son validados a través del sistema Link Shim.sistema Link Shim Este se encarga de verificar la URL compartida con una lista negra para evitar la suplantación de identidad y los sitios web maliciosos.
Así, este sistema de seguridad activo desde 2008 no solo no detectará un nuevo dominio que genere enlaces falsificados (pues de primeras no lo tendrá en su lista negra), sino que tampoco se percatará si modifica el código de los metadatos como se demuestra en el siguiente vídeo:
En su blog, Tawily advierte que “hay muchas formas de aprovechar esta vulnerabilidad para realizar varios tipos de ataques, como robar información sensible como credenciales o tarjetas de crédito”. Muestra de ello es lo ocurrido a mediados de octubre en una campaña de suplantación de identidad dirigida a usuarios de Suecia, Finlandia y Alemania.
Según detectó la firma finlandesa de seguridad F-Secure, se llegaron a efectuar casi un total de 200.000 clics. Estos se hacían sobre un enlace que parecía contener un vídeo de YouTube; sin embargo, los usuarios eran dirigidos a un sitio que los clasificaba según el tipo de dispositivo que estuvieran usando. Aquellos con móviles Android e iOS eran redireccionados a una web de 'phising' (una suplantación), mientras otros iban a parar a la web contenidosviral.net con una gran carga de anuncios maliciosos.
Cómo mantenerse salvo de los ciberdelincuentes
Con cada vez prácticas más sofisticadas, algunas veces resulta difícil no caer en estos engaños. Sin embargo, hay algunos trucos para no dejarse engatusar en la Red.
Por ejemplo, algo tan sencillo como desplazarse sobre el enlace antes de hacer clic para ver la dirección URL puede ayudarnos. Si vemos que aparecen palabras inconexas o alguna anomalía en el dominio, será mejor no acceder. También nos pondrá sobre aviso si en el contenido que se nos presenta vemos errores gramaticales, sobre todo si es una web con cierto renombre.
El sentido común también nos resultará útil. Aunque muchas veces la realidad supera la ficción, las publicaciones con titulares excesivamente impactantes pueden ser un cebo para el clic más peligroso.
Si alguno de nuestros amigos es quien comparte un enlace, tampoco hay que fiarse cuando detectamos anomalías. Por ejemplo, si nos lo envía por Facebook Messenger y nuestro amigo no se encuentra activo en el chat, puede que le hayan secuestrado la cuenta. Por eso lo mejor, antes de acceder a cualquier de estos enlaces, es preguntar a nuestro amigo para verificar que ha sido él quien nos lo ha mandado y no hay peligro.
Así que en internet, como en cualquier otro aspecto de la vida, la cautela debe ser la norma para no dejarse engañar y terminar con un buen susto por culpa de los ciberdelincuentes.
--------------------
Las imágenes de este artículo son propiedad, según orden de aparición, de Pixabay, Iphonedigital/Flickr y Marshillonline/Flickr