Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

Mark, se te ha roto Facebook

La red social ignoraba un error de seguridad

Mensaje de Khalil Shreateh en el perfil de Mark Zuckerberg.

Entrar en un perfil privado de un desconocido y poner un comentario. Esa es la fechoría de Khalil Shreateh. Este autodidacta de Palestina llevaba tiempo insistiendo en su habilidad y lo denunció ante Facebook. No como un alarde, sino buscando que se corrija el error.

En su blog se presenta como un hacker de sombrero blanco, como se definen los que no tienen más intención que alertar de posibles puntos débiles. En un principio se dirigió a los responsables de seguridad de Facebook siguiendo los cauces habituales. Es decir, rellenando un formulario y después un correo electrónico. En vista de que su demostración no tenía respuesta primero y que, posteriormente le dijeron que eso no era un error, optó por la vía rápida.

Al ver que los perfiles privados seguían al descubierto hizo una demostración que ha dejado en evidencia a los responsables de seguridad. Shreateh buscó entre los contactos amigos de Mark Zuckerberg, creador del servicio y consejero delegado, con el perfil restringido. Así dio con Sarah Goodin, compañera de la universidad de Zuckerberg y demostró sus conocimientos. Después, fue al muro de Zuckerberg, que lo tiene abierto, y publicó una captura de pantalla con su hazaña.

A los pocos minutos un ingeniero de Facebook se puso en contacto con el hácker para que les pasase detalles. Después vio cómo se desactivaba su cuenta. No ha habido una disculpa por parte de la red social, sino una excusa. Argumentan que su alerta inicial no incluía suficiente información técnica.

Llama la atención que se haya llegado a este punto si se tiene en cuenta que Facebook tiene un programa para recompensar a aquellos que, como Shreateh actúen de buena fe y alerten de errores. Estos cazagazapos pueden llegar a ganar más de 350 euros (500 dólares) por pieza. Bien, Facebook ha decidido que no cobrará por esta, ya célebre y aplaudida en redes sociales, peripecia por considerar que se salta las normas de ese programa.

Facebook no ha dado una respuesta oficial dentro de su propio servicio, pero sí ha dado explicaciones en un foro de desarrolladores: “Hacer explotar errores para impactar a los usuarios no es un comportamiento que entre dentro de lo que se denomina ‘sombrero blanco’. En este caso, el investigador usó el error que descubrió para poner mensajes en los muros de varios usuarios sin su consentimiento”.

Es evidente que no hacen referencia a que desestimaron su aviso en primera instancia y solo prestaron atención, y lo solventaron el fin de semana, después de dejar en evidencia tanto el error como su sistema de vigilancia.

Más información