Facebook lo hizo a tiempo. Solucionó una potencial falla que podría haber expuesto información de sus usuarios. La vulnerabilidad fue hallada por Ron Masas, investigador de Imperva, en mayo. En ese entonces alertó a la compañía sobre este incidente, que ya fue corregido.

Se trata de un ataque de tipo CSRF que hace que se ejecuten acciones no deseadas en una aplicación en la que el usuario está autenticado. El ataque se basa en una vulnerabilidad de Facebook y de Chrome, según remarcó el investigador.

Para que el ataque funcione, un usuario de Facebook, luego de haber iniciado sesión en su perfil, debe hacer clic en un sitio malicioso desde Chrome. Así, el cibercriminal podría abrir una nueva ventana emergente y hacer una serie de consultas para extraer información personal, tal como se muestra en el video.

Facebook registro varias fallas de seguridad en el último tiempo (Reuters)
Facebook registro varias fallas de seguridad en el último tiempo (Reuters)

Según se explica en el blog de Imperva, esto permitiría extraer información personal de los usuarios y de sus amigos. El atacante podría saber los gustos de los usuarios, la ubicación geográfica de las fotos o incluso buscar si se publicaron posteos con determinados textos.

Facebook aseguró que el error se resolvió y que no identificaron que se hubiera explotado esta vulnerabilidad. Además, destacaron que este problema va más allá de Facebook y que podría afectar también a otras aplicaciones web, según publicó The Verge.

Los detalles técnicos:

"A lo largo del proceso de investigación de Chrome, navegué por los resultados de búsqueda online de Facebook, y en su HTML noté que cada resultado contenía un elemento iframe, probablemente utilizado para el seguimiento interno de Facebook", explica Masas en el blog.

Los iFrames son códigos de programación que permiten incrustar un elemento HTML dentro de otro objeto HTML principal. Es como una ventana dentro de la ventana principal.

El ataque se basa en una vulnerabilidad combinada de Facebook y Chrome(Reuters)
El ataque se basa en una vulnerabilidad combinada de Facebook y Chrome(Reuters)

"Los iFrames, a diferencia de la mayoría de los elementos web, están expuestos en parte a documentos de origen cruzado. Si se combina esto con el problema de CSRF de búsqueda, surge un verdadero problema", detalla el investigador.

Como se explicó anteriormente, para que esto funcione, el usuario de Facebook tiene que ser inducido o engañado para abrir un sitio malicioso y hacer click en él, desde Chorme. Esto permite que se abra una nueva ventana y el atacante puede hacer cualquier consulta que desee.

"Al manipular la búsqueda gráfica de Facebook, es posible hacer consultas que muestren información personal sobre el usuario", detalla Masas en el comunicado.

MÁS SOBRE ESTE TEMA: