Cómo evitar que roben tu cuenta de Facebook: Una historia y 4 consejos básicos

Carles Bonfill
Carles Bonfill
“Hola Easypromos, yo sé cómo ganar todos vuestros concursos de votos en Facebook. ¿qué podéis hacer por mí para que os lo explique?”. Éste es uno de los mensajes de correo electrónico que recibieron los compañeros de Atención al cliente. Provenía de un usuario de Facebook de Portugal y firmaba con un e-mail y nombre falso. Gracias a este e-mail descubrimos un caso de cuentas robadas de Facebook y aprendimos más sobre la técnica del Facebook Phishing. Te contamos la historia de cómo lo descubrimos, y al final te damos 3 consejos de cómo evitar que te pase a ti.

 La historia

“Hola Easypromos, yo sé cómo ganar todos vuestros concursos de votos en Facebook. ¿qué podéis hacer por mí para que os lo explique?” El usuario firmó el mensaje del correo electrónico con un nombre falso que no correspondía a ningún usuario dado de alta en Easypromos, y tampoco a ningún usuario que hubiera participado en ningún concurso. Los compañeros de desarrollo técnico se tomaron el e-mail como un reto, así que lideraron la investigación del caso.

Lo primero que hicieron fue analizar el e-mail, en concreto las cabeceras que incluyen información de la dirección IP desde donde se envió el mensaje.  Esta dirección IP se contrastó con todas las direcciones IP de usuarios participantes en cualquiera de los concursos del historial de la plataforma de Easypromos, y efectivamente se encontró un participante. Este participante era de Portugal y había participado en un concurso de fotos con votos, y ganó por ser la foto más votada.

Como requerimiento de participación en ese concurso de fotos, todos los participantes debían identificarse con su cuenta de Facebook. Así que pudimos conocer y analizar el perfil público de ese usuario en Facebook. El perfil público estaba muy limitado debido a la configuración de privacidad del usuario, sin embargo sí estaban visibles algunas de las publicaciones compartidas en su biografía. La mayor parte de las publicaciones estaban relacionadas con el surf, y sorprendía que muchas de ellas eran contenidos compartidos de una misma página web.

Para facilitar el registro de los usuarios se les daba la opción de poder conectar su cuenta de Facebook, a través del sistema estándar de Facebook Login habitual en muchas webs con registro

Los compañeros se centraron entonces en el estudio de la página web. Primero analizaron la información pública del nombre de dominio de la web. La información no estaba restringida, y el contacto técnico y administrativo del nombre de dominio coincidía con el nombre del usuario en Facebook. El usuario era el propietario de la web.

La web se basaba en contenidos relacionados con el surf, con recomendaciones de viajes, experiencias de usuario, opiniones de materiales, etc… y disponía también de un foro con varias temáticas, en donde los usuarios preguntaban abiertamente y otros contestaban. Para poder participar en el foro era necesario estar registrado. Para facilitar el registro de los usuarios se les daba la opción de poder conectar su cuenta de Facebook, a través del sistema estándar de Facebook Login habitual en muchas webs con registro. En el foro, estos usuarios registrados con su cuenta de Facebook quedaban identificados con su nombre y foto de perfil de Facebook.

Entonces el momento mágico sucedió cuando uno de los compañeros eligió aleatoriamente uno de los perfiles de Facebook del foro, y lo comparó con el listado de votantes del usuario que ganó el concurso de fotos. Ahí estaba. Sí, el usuario del foro era uno de los votantes. Buscamos otro usuario del foro, también era un votante. Tercer usuario, también votó. Prácticamente el 100% de los usuarios del foro, eran votantes del ganador del concurso de fotos.

Cabía la posibilidad que el usuario hubiera enviado una comunicación a través del foro o una newsletter a su comunidad para solicitar el voto a su foto. ¿Pero entonces por qué nos escribiría indicando que puede ganar todos los concursos? Es una acción que puedes aprovechar de forma puntual, pero no puedes abusar de los usuarios de tu comunidad de forma habitual. Entonces decidimos analizar los perfiles públicos de los votantes. Eran perfiles de usuarios que no encajaban con los perfiles de usuarios que participan en muchos concursos. Navegando en el historial de su biografía, tampoco había en ninguno de ellos, la foto compartida del usuario que votaron.

Escribimos a 20 usuarios, de los cuales respondieron 12. Ninguno de los 12 había votado por ese usuario.

Como siguiente paso se decidió comunicarse con alguno de estos usuarios y preguntarles directamente a través de mensaje privado de Facebook si habían votado o no por la foto de ese usuario. Les enviamos un mensaje privado identificándonos con nuesros perfiles de Facebook personales en donde se indica claramente que formamos parte del equipo de Easypromos, y les preguntamos directamente si había votado por esa foto. Escribimos a 20 usuarios, de los cuales respondieron 12. Ninguno de los 12 había votado por ese usuario.

Estas 12 respuestas confirmaron nuestra sospecha: El usuario aprovechaba los usuarios registrados en su web con su cuenta de Facebook para su propio beneficio. Utilizaba el correo electrónico y contraseña registrados en su web para conectarse a Facebook y emitir un voto en su nombre. Pero ¿cómo obtenía la contraseña?, el usuario debió utilizar la misma contraseña con el que los usuarios se registraban en su web. Los usuarios se registraban con el e-mail de Facebook, y muchos de ellos introducían la misma contraseña.

A partir de aquí investigamos en Internet y descubrimos que existen tutoriales, videos y documentación con ideas y técnicas para robar los datos de acceso de cuentas de usuario. Puede suceder como el caso de esta historia u otras técnicas más habituales como el Facebook Phishing. Esta técnica consiste en mostrar a un usuario, víctima del ataque, una página web de inicio de sesión que parece prácticamente idéntica a la página de inicio de sesión oficial de Facebook. El usuario víctima que se conecta, confía que está conectado en Facebook y escribe su e-mail y contraseña de inicio de sesión en Facebook. En realidad no está dando los datos a Facebook si no al atacante que ha programado esta página web falsa.

Los 4 consejos

¿Cómo evitar que te roben el acceso a tu cuenta de Facebook? Damos a continuación 4 recomendaciones básicas para evitar que a un usuario le roben su cuenta de Facebook:

Cambia tu password en Facebook periódicamente

Es muy recomendable que por seguridad cambies la contraseña de tu usuario de Facebook. El periodo de tiempo recomendado es de 90 días.

Si te registras en una web con tu cuenta de Facebook y te piden igualmente una contraseña, no utilices la misma que Facebook

Facebook ofrece una solución a las webs para que los usuarios se registren y logueen rápidamente, con la suficientemente seguridad que no sea necesario una contraseña adicional. Algunas webs podrían solicitar igualmente una contraseña para completar un proceso de registro. En este caso no utilices la misma.

Verifica siempre la url y el certificado SSL cuando te conectes en Facebook

El Facebook Phishing se basa en confiar en una web que no es la oficial. Esta situación sucede cuando accedes a la página de login en Facebook desde un enlace externo. En ese momento te recomendamos que sigas estas comprobaciones para detectar si estás siendo víctima de un ataque de Phishing:

  • Verifica que la URL es un nombre de dominio y no una dirección IP. Por ejemplo: http://123.214.56.72
  • Comprueba que el nombre de dominio es el de Facebook: facebook.com. No es válido, nombres como www.facebook.com, o www.faceboook.com
  • Verificar que el protocolo de acceso es HTTPS, https://www.facebook.com. Antes la duda, puedes hacer clic en el candado donde se informa del certificado de validez
dominio FB
dominio FB2

Verifica la validez de la aplicación que solicita permisos adicionales para acceder a tu cuenta de Facebook

Muchas webs y aplicaciones ofrecen a sus usuarios para conectar su cuenta de Facebook, de esta forma pueden agilizar el proceso de registro u ofrecer funcionalidades adicionales en base a acciones de Facebook como compartir, mostrar información de amigos, etc. Para estas acciones el usuario deberá autorizar permisos a una aplicación de Facebook. En esta situación el usuario también puede ser víctima de un ataque. Para prevenirlo, asegúrate que:

  • El pop-up de permisos proviene de una url oficial de Facebook
  • El pop-up de permisos se abre con protocolo HTTPS. Puedes verificar el certificado de seguridad.
  • La aplicación tiene un enlace a la política de privacidad y a las condiciones de uso.
permisos FB

Para finalizar, te recomendamos que leas el siguiente artículo en donde Facebook da un listado completo de recomendaciones para proteger una cuenta de Facebook de posibles robos y accesos no autorizados.