Si tiene un número de teléfono antiguo vinculado a su cuenta de Facebook, elimínelo. Cualquiera que entre en posesión de ese número puede iniciar sesión en su cuenta sin contraseña, y no recibirá ni un correo electrónico de notificación.

El buscador del error dice que Facebook no tiene interés en arreglar este enorme agujero porque es, parafraseando, el problema de otra persona.

Crédito: maxpro / Shutterstock
(Crédito de la imagen: maxpro / Shutterstock)

James Martindale, un programador independiente, descubrió el error después de que comenzó a recibir recordatorios de Facebook para la cuenta de otra persona en un nuevo número de teléfono. Informó sus hallazgos a Facebook, y cuando la compañía lo rechazó, llevó sus preocupaciones a Medio en cambio, donde ha tenido una recepción mucho más cálida.

La amenaza de esto es mayor de lo que parece. Servicios como Google Voice y empresas como FreedomPop hacen que la compra de nuevos números de teléfono sea barata y sencilla, e incluso le permiten elegir entre una selección de posibles números nuevos.

Debido a que Facebook le permite buscar usuarios a través de sus números de teléfono, Martindale dijo que no sería difícil verificar cada número nuevo potencial para ver si estaba vinculado a una cuenta de Facebook. Un ciberdelincuente en ciernes podría comprar el número, secuestrar la cuenta, venderla en el mercado negro y repetir el proceso de forma indefinida.

MÁS: Twitter, Facebook y LinkedIn: cómo activar la verificación en dos pasos

Martindale explicó que quería comprar un nuevo número de teléfono (uno "realmente fotogénico"), y tuvo que hacer un pequeño malabarismo con la tarjeta SIM para conseguirlo en su teléfono. Sin embargo, cuando la tarjeta estuvo lista y funcionando, recibió un mensaje de texto de Facebook, alegando que no había iniciado sesión por un tiempo y quería arreglar eso.

Martindale usó la función de búsqueda de Facebook para realizar una búsqueda inversa del número de teléfono y encontrar la cuenta a la que pertenecía. Por curiosidad, trató de iniciar sesión en la cuenta, usando el número de teléfono como nombre de usuario, luego afirmó que había olvidado su contraseña. Resultó que el antiguo número de teléfono del usuario todavía estaba conectado a su cuenta de Facebook, y Martindale podría haber elegido, si hubiera querido, recibir un mensaje de texto para restablecer la contraseña.

Mejor aún: Facebook no requiere que un usuario en estas circunstancias restablezca su contraseña, lo que significa que Martindale podría haber secuestrado la cuenta de este usuario sin que una sola notificación llegara al usuario legítimo por Facebook o correo electrónico. (Naturalmente, también sería trivial bloquear a un usuario fuera de su propia cuenta creando una nueva contraseña).

Hay dos formas extremadamente sencillas de evitar que esto le suceda. El primero es eliminar los números de teléfono antiguos de su cuenta, lo que puede hacer accediendo a Configuración, seleccionando Móvil y luego haciendo clic o tocando Eliminar junto a cualquier número desaparecido. El segundo es activar Autenticación de dos factores en Facebook, lo que significa que deberá otorgar o denegar permiso para cualquier nuevo inicio de sesión de Facebook desde su teléfono o tableta. Por supuesto, deberá asegurarse de que si establece el segundo factor para que sea un código enviado por mensaje de texto, que el número de recepción sea su número de teléfono móvil actual y no uno anterior.

Los lectores interesados ​​pueden haber deducido (correctamente) que este error, aunque peligroso, no puede dirigirse a personas específicas. Después de todo, si compra un nuevo número de teléfono a través de compañías como FreedomPop (por tan solo $ 5 cada una), no puede elegir su propio número. (Algunos servicios ofrecen números de teléfono "personalizados" a la venta, pero cuestan cientos de dólares).

Aún así, el objetivo no es comprometer la cuenta de Facebook de una persona en particular, sino comprometer cualquier cuenta suficientemente activa. A partir de ahí, llevar a cabo una estafa de phishing, un plan de mendicidad electrónica a través de Messenger o simplemente poner cuentas a la venta en la web oscura sería trivial. Un ciberdelincuente dedicado podría ganar unos cientos de dólares al día, por no hablar de lo que sucedería si optara por distribuir malware a través de Facebook Messenger.

Martindale recibió una respuesta de Facebook cuando informó a la compañía del error, pero se negó a darle una recompensa por el error.

"Si bien esto es una preocupación, no se considera un error para el programa de recompensas por errores", dijo un representante de seguridad de Facebook llamado Randy. "Facebook no tiene control sobre los proveedores de telecomunicaciones que vuelven a emitir números de teléfono o sobre los usuarios que tienen un número de teléfono vinculado a su cuenta de Facebook que ya no está registrado".

En otras palabras: Sí, es un problema, pero no es nuestro problema. Es bueno saber que Facebook siempre tiene las espaldas de sus usuarios. Martindale dice que Facebook podría solucionar esto al permitir que los usuarios registren solo un número de teléfono móvil con el servicio y desactivar por la fuerza los números más antiguos cuando un usuario registra uno nuevo.

  • Mejores administradores de contraseñas
  • 15 consejos de seguridad de Android
  • Mejores servicios y aplicaciones VPN

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.