Tal y como asegura la multinaciona Panda Security, el hacker egipcio, Mohamed Ramadán descubrió el pasado mes de julio un fallo en Facebook muy peligroso para la seguridad de los usuarios, pero tan simple que había pasado desapercibido: podía ser hackeado con un simple documento de Word.
El descubrimiento no fue casual: Ramadán llevaba tiempo tratando de encontrar posibles vulnerabilidades para demostrar su potencial como hacker ético, y ya lo había hecho trabajando en busca de errores de Facebook en las aplicaciones para Android, iOS y Windows. Había llegado el momento de superarse a sí mismo y probar con las webs y servidores de la misma compañía.
Sabía que el desafío era importante: no solo es una de las tecnológicas que más medidas de seguridad ha implantado, sino que son muchos los expertos en seguridad que llevan años informando y tapando nuevos agujeros. Incluso la compañía había asegurado con anterioridad que todos esos agujeros de sus servidores habían sido parcheados. Pero se equivocaba.
Después de investigar mucho sobre el asunto, el hacker descubrió la web Careers at Facebook, donde cualquiera puede buscar un trabajo dentro de la compañía y subir su currículum. Así que decidió probar suerte, aunque no precisamente para buscar empleo. Para comenzar a hacer comprobaciones (y descubrir si la plataforma era segura) probó a cargar un archivo donde habitualmente se suben los currículums y vio que solo se aceptaban en formato .pdf o .docx.
Los .docx tienen la particularidad de ser ficheros comprimidos cuya información interna puede ser modificada si se descomprimen. Por eso Ramadán cogió un .docx cualquiera y lo descomprimió (utilizando la herramienta 7zip) con la intención de acceder a su código y modificarlo. Concretamente, cambió una línea de código para ordenar a ese documento de Word que siempre, estuviera donde estuviera, se comunicara con un fichero gemelo alojado en el ordenador del investigador.
A pesar de su buena idea, Ramadán tenía en cuenta que las cosas podían fallar. Era probable que, aunque enviara el documento modificado al servidor, el fichero acabara por no comunicarse con el que quedaba en su ordenador.
Por eso, antes de cargar el Word manipulado en el servidor de Facebook, comprobó si era posible obtener algún resultado subiendo ese documento a cualquier otro servidor (concretamente a uno programado por él mismo para la ocasión). El resultado era el esperado: varios minutos después de hacer la prueba, el servidor externo que acababa de crear se intentaba comunicar con su ordenador, así que el de Facebook también lo haría, y efectivamente lo hizo.
“Forcé a los servidores de Facebook a conectarse con mi ordenador utilizando simplemente una hoja de Word”, dice Ramadán en su propia página.
Con ese engaño, Mohamed Ramadán pudo entrar en contacto con la información de cualquier persona que hubiera subido su currículum a la plataforma de Facebook, pero también con sus cuentas en la red social y con los ordenadores que esas personas utilizan habitualmente.
Por tanto, la información de cualquier empresa podría verse comprometida si sus empleados utilizan Facebook mientras trabajan desde los ordenadores de la compañía. En este caso fue Careers at Facebook la página que tuvo el problema, y afortunadamente Ramadán el que lo detectó. Sin embargo, la vulnerabilidad en ese servidor podría haber afectado a otros tantos, según explica el experto.
Aunque actualmente el fallo ya está reparado – y Ramadán se ha embolsado una recompensa de unos 5.300 euros – su existencia demuestra que comprometer las cuentas de Facebook es más sencillo de lo que parece.