El sistema de correo de Facebook permite suplantar la identidad

Un internauta español ha remitido un informe a Inteco sobre el problema.- Se trata de un defecto del protocolo de correo no exclusivo de la red social

Un internauta español, Alfredo Arias, de León, ha denunciado un fallo en el sistema de correo de Facebook que permite la suplantación de la identidad. Arias remitió su investigación a Inteco, que lo ha publicado en su boletín de seguridad. Arias también ha hecho público el problema es su blog.

Según explica Arias, con tan solo conocer la dirección de correo de dos contactos, el del remitente y el del receptor es posible enviar correos que aparecen en Facebook como mensajes privados y que parecen un contacto fiable.

Según Inteco, este defecto "se deriva del propio protocolo de correo electrónico de Internet, que es el que utiliza Facebook y otros proveedores de servicio similares, y que no permite por defecto asegurar al receptor quien es el auténtico emisor del correo". Se trata de un problema ya conocido, pero "aunque el problema es común a todos los servicios de correo, en Facebook adquiere mayor dimensión al integrarse con el ecosistema de la propia red social. Los mensajes suplantados aparecerían como una notificación más, con su nombre e imagen asociada, y lo que puede resultar más peligroso, los atacantes podrían investigar los contactos de la victima (muchas veces públicos) y utilizar alguno de ellos para la suplantación haciendo el mensaje mucho más creíble. O incluso utilizando el perfil de algún famoso".

Más información

Facebook planea salir a Bolsa entre abril y junio de 2012

Zuckerberg reconoce haber cometido "un montón" de errores

El sistema de suplantación es realmente sencillo y se puede llevar a cabo mediante un simple formulario web, rellenando los campos remitente, destinatario y mensaje. Este correo electrónico se envía al correo asociado a Facebook y aparece dentro de la conversación que el usuario que lo recibe mantenía con el contacto que supuestamente se lo envía.

El aspecto es prácticamente idéntico a un mensaje privado a través de la red social y difícil de identificar. En la página web ocurre en ocasiones, no todas, que Facebook advierte de que no le ha sido posible confirmar que sea del contacto. En el móvil, este aviso no aparece.

Inteco ha puesto en conocimiento de Facebook el problema. Inteco hizo la prueba suplantando a Lady Gaga

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Añadir usuario Continuar leyendo aquí

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

¿Tienes una suscripción de empresa? Accede aquí para contratar más cuentas.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.