La funcionalidad de correo de Facebook podría ser aprovechada para enviar correos maliciosos suplantando la identidad de otros perfiles de la red social. Esta deficiencia en el servicio podría utilizarse por usuarios malintencionados para, por ejemplo, hacerse pasar por un amigo de la víctima objetivo e invitarla mediante un enlace a visitar páginas maliciosas o descargar aplicaciones no confiables.

Recursos afectados

Usuarios de la red social Facebook que tengan habilitada la funcionalidad de correo asociada a su perfil

Solución

  • Ser conscientes de que no se puede asegurar quien es el remitente en los correos recibidos
  • Deshabilitar la funcionalidad de correo en Facebook, pero tengamos en cuenta que este problema lo vamos a encontrar en cualquier otro servicio de correo

Detalles

Los usuarios que tengan habilitada la funcionalidad de correo en Facebook, y que por tanto dispongan de una cuenta del tipo usuario@facebook.com , podrían recibir correos suplantando el perfil de otros usuarios de la red social.

Hay que tener en cuenta que esta deficiencia en el servicio se deriva de cómo funciona el propio protocolo de correo electrónico de Internet, que es el que utiliza Facebook y otros proveedores de servicio similares, y que no permite por defecto asegurar al receptor quien es el autentico emisor del correo. Esta limitación a primera vista puede resultar extraña, y es que cualquiera con unos pocos conocimientos técnicos puede enviar un correo electrónico inventándose o falsificando la dirección del remitente (mail spoofing), pero en el ámbito de la seguridad es algo sobradamente conocido.

Por otro lado aunque el problema es común a todos los servicios de correo, en Facebook adquiere mayor dimensión al integrarse con el ecosistema de la propia red social. Los mensajes suplantados aparecerían como una notificación más, con su nombre e imagen asociada, y lo que puede resultar más peligroso, los atacantes podrían investigar los contactos de la victima (muchas veces públicos) y utilizar alguno de ellos para la suplantación haciendo el mensaje mucho más creíble. O incluso utilizando el perfil de algún famoso.

También hay que considerar que aunque a día de hoy no se tiene constancia de campañas fraudulentas que estén utilizando este método la facilidad de su uso abre la puerta a todo tipo de usuarios con intenciones deshonestas. Para realizar la suplantación sería necesario:

  • conocer la cuenta de correo de Facebook del usuario al que se quiere enviar el mensaje
  • conocer la cuenta de correo personal asociada a Facebook, del usuario al que se quiere suplantar
  • disponer de un formulario o aplicación de envío de correo que permita indicar los campos remitente, receptor y cuerpo del mensaje. Relativamente sencillo.

En la OSI hemos realizado unas pruebas para confirmarlo, y hemos «conseguido» un mensaje de la cantante Lady Gaga:

OSI

Facebook es conocedor del problema muestra un pequeño icono de alerta advirtiendo de que no es posible verificar la identidad del emisor del mensaje. Esta advertencia, entendemos que por motivos de espacio, no se muestra en las aplicaciones de Facebook para dispositivos móviles ni tabletas.

OSI

Como es habitual INTECO a través de su INTECO-CERT y su OSI ha puesto en conocimiento de Facebook este problema.

Finalmente conviene recordar que la suplantación de identidad es un delito tipificado en el código penal.

* Existen mecanismos para corregir esta limitación en el protocolo del correo electrónico: SPF, DKIM