Cómo hackear una cuenta de Facebook sólo con el número de teléfono

No se trata de dar ideas… Y de hecho, no es sencillo llevarlo a cabo, pero si existen vulnerabilidades, es conveniente saberlas para poderse prevenir, actuar, y que se puedan solucionar lo antes posible. Aunque en este caso se trata de una vulnerabilidad conocida desde hace años, del protocolo SS7.(En este artículo te explicamos todo lo que necesitas saber sobre ello)

En el caso de las redes sociales, “hackear una cuenta de Facebook”, o “espiar cuenta de Facebook”probablemente sean algunas de las búsquedas más populares en Google. Y seguro una de las propuestas indecentes que suelen recibir los expertos en seguridad, a ver si cuela. Y sin duda existen algunas técnicas probadas, hackear una cuenta de Facebook es posible. Forbes recoge una técnica explorada por investigadores de seguridad aprovechándose de una vulnerabilidad que no es nueva. Todo lo que se necesita es el número de teléfono de la víctima.

Una técnica similar, la vimos en este episodio de Mundo Hacker, en el que el experto en ciberseguridad Rubén Martínez lograba acceder al Facebook de una víctima a través del número de teléfono,aprovechándose del factor de doble autenticación de la red social (previamente, eso sí, tuvo que obtener el número de teléfono de la víctima a través de un punto de acceso WiFi malicioso, pero eso es otra historia… Echa un vistazo a por qué no deberías conectarte a cualquier red WiFi abierta así por que sí). Para obtener la clave y poder acceder a la red social de la víctima, conseguía que le llegaran los SMS de verificación (del famoso factor de doble autenticación) a través de una aplicación maliciosa instalada gracias a que la víctima se conectaba a ese punto inalámbrico falso. Vamos, que sencillo de realizar no es precisamente, pero poder, se puede.

La técnica que desgranan en Forbes se aprovecha en este caso de explotar la red SS7. Signalling System Number 7 o sistema de señalización por canal común número 7 se trata de un conjunto de protocolos de señales telefónicas, que son usados por la mayoría de las redes de telefonía en todo el mundo. Este protocolo es usado por más de 800 operadores de telecomunicaciones, para intercambiar información, permitir el roaming, y otras funcionalidades. Pero uno de los problemas de este protocolo, como explicaron en The Hacker News precisamente es que se fía de los mensajes de texto enviados a través de él sin importar su origen, por lo que ciberatacantes podrían aprovecharse de esto para redirigir mensajes y llamadas a sus propios dispositivos.  

Aprovechándose del sistema

Las debilidades de esta red no sólo permiten acceder de forma ilegítima a redes sociales, sino también espiar llamadas o interceptar SMS. Lo único que necesitan en este caso es conocer el número de teléfono de la víctima, y algunos detalles de su dispositivo, para iniciar el espionaje. Los investigadores de Positive Technologies, han realizado esta demostración que ha sacado a la luz Forbes, para quienes también demostraron cómo se podía acceder a cuentas de WhatsApp y Telegram.

SS7 ya ha demostrado ser vulnerable, a pesar de los nuevos métodos de cifrado de las redes de telefonía.Vulnerabilidades que llevan circulando años, desde que en 2014 un grupo de investigadores del German Security Research también los sacara a la luz.

en el caso de Facebook, básicamente, el atacante pincha en la opción de “¿Olvidaste tu contraseña?” de la red social. Cuando se le pregunte por un número de teléfono o dirección de email vinculado a esa cuenta, el atacante proveerá el número de teléfono de la víctima.

Es entonces cuando desvía el SMS que la red social envía con el código de verificación a su propio ordenador o móvil, y puede acceder a la cuenta de Facebook de la víctima. Los investigadores muestran el proceso en este vídeo:

Este tipo de vulnerabilidad afecta a todos los usuarios de la red social que tengan activada esta opción de doble factor de autenticación. No deja de ser irónico, ya que esta opción se presupone que aumenta la seguridad de las cuentas. Pero es que además de Facebook, los investigadores han demostrado que esta vulnerabilidad se puede explotar con prácticamente cualquier servicio que use la doble verificación con SMS, como Twitter o Gmail.

El problema es que los operadores no pueden parchear esta vulnerabilidad en un corto plazo de tiempo, y no es un problema de Facebook o del resto de los servicios, sino que es una debilidad en la propia red de telecomunicaciones.

¿Qué hacer como usuario?

En cualquier caso, no es una técnica fácil de llevar a cabo, esta técnica requiere altos conocimientos técnicos, y dinero. Mientras tanto, los usuarios podemos tomar precauciones: desactivar el factor de doble autenticación en los servicios en los que lo tengas activado, o directamente no enlazar tu número de teléfono en las redes sociales y diferentes servicios, usa por el momento el correo electrónico como método para recuperar la contraseña. O usa métodos de doble autenticación que no requieran el envío de SMS.