Un fallo en el Centro de cuentas de Facebook permitió la desactivar la autenticación de dos factores.
Un fallo en el Centro de cuentas de Facebook permitió la desactivar la autenticación de dos factores.
/ DENIS CHARLET
Agencia Europa Press

Un fallo en el Centro de cuentas de , que aúna la gestión de las cuentas de las dos redes sociales de la compañía, ha permitido a los actores maliciosos desactivar la autenticación de dos factores en Facebook de un usuario con solo conocer su número de teléfono.

MIRA: You, el buscador potenciado por una inteligencia artificial que preocupa a Google y Microsoft

El investigador en ciberseguridad Gtm Mänôz detectó que Meta no había establecido un número limitado de intentos para acceder a la cuenta con la autenticación de dos factores mediante SMS activada dentro de la nueva interfaz para el Centro de cuentas.

Por este fallo, un atacante podía, en caso de conocer el número de teléfono de la víctima, vincularlo a su propia cuenta como parte del sistema de dos factores. Al intentar confirmar el cambio, se solicita un código de seis dígitos enviado al móvil, que el atacante no conoce por el momento.

MIRA: Apple permitirá que cualquiera pueda crear apps para su visor de realidad mixta usando Siri

Sin embargo, al no haber límite de intentos, puede iniciar un ataque de fuerza bruta, intentar introducir tantas combinaciones de seis dígitos como pueda hasta dar con la que le permita acceder. En ese momento, lo que ocurre es que el número de teléfono de la víctima se ha logrado vincular con éxito a la cuenta del atacante.

La víctima, por su parte, recibirá una notificación en la que se indica que su número de teléfono se ha desvinculado de su cuenta, ya que forma parte del sistema de autenticación de dos factores de otra persona. Como consecuencia, tendrá la autenticación de dos factores desactivada, lo que le hará más vulnerable a los ataques que intenten acceder a su cuenta.

MIRA: El auto solar de tres ruedas ya está casi listo y podrá ser recargado en estaciones de Tesla

Mänôz identificó este fallo el año pasado, como explica en su blog en Medium. El 14 de septiembre envió a Meta el informe correspondiente y tras solicitar la ayuda del investigador para reproducirlo, unos días después la compañía tecnológica logró eliminarlo, aunque no fue hasta el 17 de octubre que llegó lo solucionó del todo.

Contenido sugerido

Contenido GEC