Un investigador de seguridad informática llamado Ben Sadeghipour logró lo que muchos profesionales de la ciberseguridad consideran un verdadero golpe maestro: descubrió una grave vulnerabilidad en los servidores internos de Facebook, lo que lo llevó a recibir una recompensa de 100.000 dólares por parte de Meta, la empresa propietaria de la red social.
Sadeghipour se encontraba analizando la plataforma publicitaria de Facebook cuando detectó un fallo que le permitía ejecutar comandos en uno de los servidores internos de la compañía, otorgándole un control total sobre este.
Según explicó, el problema radicaba en un fallo previamente conocido y corregido en el navegador Chrome, el cual Facebook utiliza en su sistema de anuncios. Sin embargo, el servidor publicitario de la red social seguía siendo vulnerable porque no había sido actualizado correctamente.
Con este acceso, Sadeghipour pudo haber explotado el fallo para interactuar con el resto de la infraestructura interna de Facebook. “Lo que lo hace peligroso es que probablemente era parte de una infraestructura interna”, declaró el investigador a TechCrunch.
Aunque optó por no profundizar en las acciones que podría haber realizado dentro del servidor, explicó que la vulnerabilidad habría permitido extraer datos o evadir ciertas medidas de seguridad de la plataforma.
Inmediatamente después de identificar el problema, el investigador presentó un informe a Meta, señalando la urgencia de resolver el fallo. “Supongo que es algo que quizás quieras solucionar porque está directamente dentro de tu infraestructura”, escribió en su reporte.
Meta respondió rápidamente al hallazgo, solicitándole que se abstuviera de realizar más pruebas mientras corregían el problema, lo que les llevó apenas una hora.
Sadeghipour trabajó en este reporte junto con el investigador independiente Alex Chapman. Según él, las plataformas de publicidad en línea suelen ser objetivos atractivos para los ciberataques debido a la gran cantidad de datos que procesan, como videos, textos e imágenes. Esto abre múltiples puertas para posibles vulnerabilidades.
La recompensa de Meta no solo reconoce su esfuerzo, sino que también refuerza la relevancia de los programas de “bug bounty”, en los que investigadores externos ayudan a detectar fallos críticos antes de que sean explotados por actores malintencionados.
Cómo reportar una vulnerabilidad a Meta
Reportar una vulnerabilidad a Meta es un proceso estructurado que forma parte de su programa de recompensas por errores, conocido como “bug bounty”. Este programa incentiva a investigadores de ciberseguridad a informar vulnerabilidades de manera responsable antes de que puedan ser explotadas.
El primer paso para realizar un reporte es confirmar y documentar la vulnerabilidad. Es fundamental reproducir el error para asegurarse de que sea legítimo y no un caso aislado.
Durante este proceso, es importante recopilar evidencia detallada, como capturas de pantalla, ejemplos de código o cualquier prueba técnica que respalde el hallazgo. Además, es esencial actuar de manera ética y no intentar acceder a datos sensibles ni explotar el fallo más allá de lo necesario para validarlo.
Una vez confirmada la vulnerabilidad, el siguiente paso es acceder al portal oficial del programa de seguridad de Meta, disponible en https://bugbounty.meta.com/. Desde allí, se puede completar un formulario para enviar el informe.
Este debe incluir una descripción clara de la vulnerabilidad, los pasos exactos para reproducirla, las evidencias recopiladas y una explicación sobre el impacto potencial del fallo. Por ejemplo, se debe detallar cómo podría ser explotado y los riesgos que presenta para los usuarios o la infraestructura de Meta.
Es importante respetar las reglas del programa. Esto incluye no acceder a datos de usuarios, no interrumpir los servicios de la plataforma y abstenerse de realizar más pruebas tras haber enviado el informe. Una vez recibido el reporte, el equipo de seguridad de Meta evaluará la información, determinará la gravedad del fallo y, si corresponde, notificará al investigador sobre el resultado.
Si el hallazgo es legítimo, Meta otorga recompensas económicas basadas en el impacto y la gravedad de la vulnerabilidad. Estas pueden variar desde cientos de dólares hasta sumas significativas, como los 100.000 dólares que recibió el investigador Ben Sadeghipour por encontrar un fallo crítico en octubre de 2024.
<br/>
Últimas Noticias
Las redes sociales y los adolescentes, un debate que se expande en el mundo: ¿prohibición total o uso limitado?
Mientras países como España avanzan con restricciones para menores de 16 años, especialistas advierten que prohibir no alcanza. Qué dicen los estudios, cuáles son los riesgos y qué estrategias proponen para acompañar a los jóvenes en el uso de las redes sociales
Invertir en longevidad: cuáles son las empresas AgeTech que cuidan el mañana
Desde robots sociales hasta avances en biotecnología, surgen nuevas formas de prevención y acompañamiento para quienes atraviesan la tercera edad
Cómo conversar por WhatsApp con alguien que no tiene instalada la aplicación
Los Guest Chats permiten invitar a cualquier persona a un chat de WhatsApp mediante un enlace personalizado
¿Poner una llave sobre el router Wi-Fi realmente dirige la señal hacia zonas específicas de la casa?
Gemini, la inteligencia artificial de Google, aclara el trasfondo técnico y desmonta el mito con argumentos claros
Este es el nuevo juego de Steam con temática similar a Diablo y más de 1.000 críticas positivas
Dragonkin: The Banished, el nuevo RPG de acción de Eko Software, se consolida como una alternativa para los fans de este género
