Un fallo de Facebook permite el “secuestro” de páginas creadas por otros usuarios

septiembre 08, 2011 Sophos Press Release

Madrid, 8 de septiembre de 2011.-. Sophos, compañía de seguridad TI y protección de datos, ha alertado sobre la existencia de un fallo en el sistema en Facebook, basado en un agujero de seguridad encontrado en su configuración, y que permite que páginas de Facebook puedan ser “secuestradas” por otros usuarios.  

Las Páginas de Facebook son una importante parte de la actividad de marketing de muchas empresas. Así, marcas como Coca-Cola, Victoria’s Secret o Starbucks, tienen millones de fans registrados en esta red social. Cualquier persona puede crear una página de Facebook, y es probable que las páginas más populares requieran de más de un administrador para ayudar a ejecutarla con éxito.  

De este modo, mientras que la responsabilidad está en los creadores de Páginas de Facebook, éstos deben tener cuidado a la hora de permitir el acceso con derechos de administrador a otra persona, ya que éstos pueden secuestrar la página y eliminar al creador original como administrador. De hecho, puede tomar el total y permanente control de dicha página.

En las propias normas de servicio de Facebook se indica que el creador original de una Página nunca podrá ser eliminado por otros administradores. Sin embargo, un vídeo de Sophos demuestra que este no es el caso:  

http://nakedsecurity.sophos.com/2011/09/05/facebook-page-hijacking-admins/  

“Según esto, aquí existen dos problemas. Aunque tengamos a un amigo o colega de trabajo de confianza como administrador en una Página de Facebook, es posible que su cuenta pueda verse comprometida en algún momento, dando oportunidades a los cibercriminales para secuestrar la Página de Facebook que hemos creado” afirma Pablo Teijeira, Corporate Account Manager y Experto en Seguridad TI de Sophos Iberia. “La otra posibilidad y consecuente problema, es que el fundador de la Página pueda otorgar derechos de administrador a una persona ajena a ella. Si bien esto suena extraño y no parece una buena idea, existen varios servicios, tales como Fiverr, donde se puede encontrar un montón de gente que se ofrece para ayudar a maximizar el éxito de la Página de Facebook”.  

Ante esta realidad, el administrador original que cede derechos de administración a otros usuarios, corre el riesgo de ser eliminado, pero la pregunta es ¿por qué no se procede tal y como las normas de uso de Facebook indican? ¿Por qué no se bloquean los intentos de eliminar al administrador original o se envía una solicitud a éste para preguntar si está de acuerdo en ser excluido de su función?. “Si se resolviera este punto, sin duda, ayudaría mucho a evitar secuestros de páginas como los que actualmente están teniendo lugar” matiza Teijeira.  

Para más información sobre este tema, puede visitar el blog de seguridad de Pablo Teijeira: http://pabloteijeira.wordpress.com/2011/09/08/un-fallo-de-facebook-permite-el-%e2%80%9csecuestro%e2%80%9d-de-paginas-creadas-por-otros-usuarios/  

O bien en el site:

http://nakedsecurity.sophos.com/2011/09/05/facebook-page-hijacking-admins/  

El video demostrativo, que los periodistas pueden colgar en sus webs, puede encontrarse en: http://www.youtube.com/watch?v=4LSKEoXJUDY