Facebook Messenger carece de una función de seguridad crítica, según han aclarado unos especialistas en seguridad en su informe más reciente. Todo lo que envías en Messenger pasa a través de los servidores de Facebook, que descarga tu contenido privado a sus propios servidores sin ningún tipo de aviso.
Los expertos en seguridad electrónica Tommy Mysk y Talal Haj Bakry han estudiado la opción de vistas previas de enlaces. Cuando envías a tu interlocutor algún contenido, incluyendo documentos privados, el destinatario del mensaje a menudo verá una vista previa de ese contenido. Esta opción puede garantizar a la red social el acceso a los datos que estás enviando.
"Creemos que las vistas previas de los enlaces son un buen caso de estudio de cómo una simple característica puede tener riesgos de privacidad y seguridad", dice el equipo en su informe.
Mientras que Mysk y Haj Bakry descubrieron que varias plataformas de mensajería no ponen en riesgo absoluto las vistas previas de los enlaces, por ejemplo, TikTok y WeChat, los principales mensajeros cifrados de extremo a extremo, incluyendo WhatsApp e iMessage, generan vistas previas de los enlaces en el lado del remitente.
Este tipo de vista previa de enlaces es bastante segura, explican los investigadores, ya que el receptor estaría protegido de riesgos si el enlace es malicioso. Este enfoque asume que quien envía el enlace debe confiar en este, ya que será la aplicación del remitente la que tendrá que abrir el enlace.
El enfoque opuesto es la vista previa de los enlaces del lado del receptor, y esto es peligroso. Significa que cualquiera puede enviarte un enlace malicioso que tu dispositivo podría seguir automáticamente para descargar un malware o podría revelar tu dirección IP y tu ubicación. Mysk y Haj Bakry solo encontraron dos mensajeros con este enfoque, y ambos ya están arreglando la vulnerabilidad.
Y la opción final, el enfoque del Facebook Messenger, vista previa de los enlaces del lado del servidor. Como explica el informe, "cuando envías un enlace, la aplicación primero lo envía a un servidor externo y le pide que genere una vista previa, luego el servidor envía la vista previa tanto al remitente como al destinatario", lo que es una pesadilla de seguridad.
Los enlaces compartidos en los chats pueden contener información privada destinada solo a los receptores, como facturas, contratos, registros médicos, o cualquier cosa que pueda ser confidencial. Aunque estos servidores son de confianza para la aplicación, no hay ningún aviso a los usuarios de que están descargando lo que encuentran en el enlace.
También surgen otras preguntas. ¿Los servidores están descargando archivos enteros, o solo una parte para mostrar la vista previa? Si están descargando archivos enteros, ¿guardan una copia, y si es así, por cuánto tiempo? ¿Y estas copias se almacenan de forma segura, o alguien puede acceder a las copias?
Este enfoque es utilizado por varias plataformas de mensajería, Facebook Messenger, Instagram, LinkedIn, Slack, Twitter, Zoom y Google Hangouts, entre ellos. Pero solo las plataformas de Facebook descargan archivos masivos, más allá del tamaño necesario para una vista previa. Mientras que otros se detuvieron en el rango de 20 a 50 MB, los investigadores tienen evidencia de que Facebook descargó un archivo de 2,6GB en sus servidores.
Sin embargo, como destacan los expertos en seguridad, Facebook al menos restringe sus descargas ilimitadas a los archivos de media, mientras que Instagram no tiene ningún tipo de limitación. Instagram y Messenger están siendo integrados actualmente, así que vale la pena considerarlos como lo mismo cuando se trata de seguridad.
Kommentarer