Un error de Facebook hace spam en la verificación a dos pasos

La autenticación a dos pasos de Facebook no solo sirve para salvaguardar nuestra cuenta de posibles robos de acceso, sino también para que la propia red social inunde tu teléfono de spam.

Facebook incluyó un sistema de verificación a dos pasos en su red social para que cualquier usuario que lo deseara tuviera una nueva capa de seguridad de acceso a su cuenta. De esta manera, cada vez que se quiera entrar a una cuenta de Facebook no sólo se precisará contraseña y correo, sino también introducir un SMS enviado al número de teléfono registrado. Así, si se pierde nuestra contraseña, el atacante no podrá acceder a la cuenta dado que también necesitaría tener el teléfono en sus manos.

Curiosamente, el sistema de seguridad a dos pasos de Facebook tiene un importante fallo, que manda notificaciones de amigos y cuenta, al menos pasa con números en Estados Unidos. Lo ha descubierto el ingeniero de software Gabriel Lewis notando que la propia Facebook hacía uso de su número de teléfono introducido en la verificación a dos pasos para recibir todo tipo de notificaciones de la red social.

Curiosamente, si respondía esos mensajes de texto, su respuesta aparecía de manera automática en su muro, perdiendo toda la privacidad que tenía el sistema. “Le das a Facebook tu número para autentificación a dos pasos, y abusa de ello con spam de SMS”, señala el propio Gabriel en redes sociales.

Desde Facebook se sostiene que “No era nuestra intención enviar notificaciones de SMS no relacionadas con la seguridad a estos números de teléfono, y lamentamos las molestias que estos mensajes han podido causar“, afirma Alex Stamos, responsable de seguridad.

Estamos trabajando para garantizar que las personas que se registren para la autenticación a dos pasos no reciban notificaciones no relacionadas con la seguridad, a menos que elijan específicamente recibirlas, y lo mismo ocurrirá con aquellos que se inscribieron en el pasado. Esperamos tener las soluciones implementadas en los próximos días. Para reiterar, esta no fue una decisión intencional; fue un error”.

Fuente original