El comunicado oficial de Facebook.com sobre los ataques de spam que sufrieron cientos de sus usuarios llegó, luego de que muchos miembros de la red se encontraran desesperados por las imágenes de violencia extrema y contenido delicado que se hallaban en sus perfiles personales, provocando que las cuentas estuviesen imposibles de utilizar.
“Nuestros ingenieros han estado trabajando diligentemente en esta vulnerabilidad ‘self-XSS’ en navegadores”, explicó Facebook.com al respecto, y añadió: “Hemos creado mecanismos de control para desactivar rápidamente las páginas maliciosas y las cuentas que tratan de explotarlo”, dijeron desde las oficinas de la red social.
De esta manera, se explicó que el reciente ataque masivo de spam en Facebook se debe a una vulnerabilidad en navegadores, mediante la cual “es posible ejecutar código malicioso en su barra de direcciones del navegador y compartir así, sin saberlo, el contenido ofensivo”. Por el momento, aseguran que no conocen qué navegador está expuesto.
Dicha vulnerabilidad, llamada ‘cross-site scripting’, permite a los atacantes ejecutar un código JavaScript en el navegador con el que se puede acceder y controlar el sitio web con el que el usuario está interactuando.
Facebook afirma que los propios usuarios eran tentados a copiar y pegar el código JavaScript malicioso en la barra de navegador web. Según explican en el blog de seguridad de la compañía Shopos, Naked Security, lo que lleva a los usuarios a pegar ese código JavaScript en la barra de su navegador es el engaño de participar o bien en un concurso, un sorteo o la posibilidad de ganar un premio (engaños típicos para distribuir spam). Para poder acceder a estos “premios” instan al usuario a pegar el código en su navegador.
Este ‘ataque’ causó que muchos usuarios de Facebook vieran invadidos sus muros con imágenes subidas de tono y especialmente violentas sin su consentimiento, lo que provocó diversas reacciones de indignación. Sin embargo, Facebook está facilitando ya información a los afectados para que sepan cómo protegerse a sí mismos. Asegura además que su intención es reducir esos ataques y seguir trabajando para mejorar las defensas mediante nuevas maneras de proteger a los usuarios.
Teniendo en cuenta que el fallo no está dentro del sitio web de Facebook, parece haber sido bastante difícil para ellos detectar esta amenaza. En realidad, son los desarrolladores de los navegadores web quienes tienen que proporcionar una solución a esta vulnerabilidad.
