Así de fácil se suplantan enlaces y anuncios dentro de Facebook

Facebook está lleno de Spam y publicidad falsa, eso no lo podemos negar. No tenemos más que hacer scroll en nuestro muro para ver una gran cantidad de anuncios y artículos que, en muchas ocasiones, son falsos. Por suerte, hay muchos usuarios que ya han aprendido la lección y no pulsan sobre estos anuncios. Por ello, en los últimos meses han crecido notablemente los enlaces suplantados dentro de la red social, una serie de enlaces que se hacen pasar por otra página, como YouTube, por ejemplo, para aumentar la probabilidad de que el usuario haga clic, pero que en realidad nos llevan a otra web que no tiene nada que ver.

Los enlaces de Facebook que nos aparecen en nuestro muro están formados, principalmente, por un título, una breve descripción, una imagen en miniatura y la URL en cuestión. Con esta información, al final somos los usuarios los que decidimos si pulsamos sobre dicho anuncio o, de lo contrario, pasamos de él.

Desde hace tiempo, Facebook no permite que los enlaces que se comparten a través de la red social se puedan editar. Además, las páginas de Facebook tampoco pueden modificar otros aspectos de las publicaciones, como el título, las descripciones y las imágenes desde julio de 2017 para evitar, precisamente, que se pueda “engañar” a los usuarios.

A pesar de estas medidas de seguridad, aún es posible falsificar las direcciones URL de las publicaciones para engañar a los usuarios para que, al hacer clic, visiten una página web que para nada estaban buscando, ya sean noticias falsas o webs con malware o software espía que puedan poner en peligro su seguridad.

Facebook no comprueba que la URL de Open Graph sea la misma que la de la página de destino

Un investigador de seguridad ha descubierto un sencillo truco mediante el cual es posible burlar la seguridad de Facebook de manera que los metadatos puedan aparecer de una forma concreta, pero, en realidad, la dirección URL de destino sea otra totalmente diferente.

Facebook hace uso de la plataforma Open Graph para determinar las propiedades de la página y generar el banner. Así, analizando las etiquetas “og:url”, “og:image” y “og:title”, la red social es capaz de capturar la URL, la miniatura de la imagen y el título del artículo respectivamente.

La red social no comprueba que la dirección URL que aparece en el “og:url” sea la misma que la que corresponde con la página web en cuestión. De esta manera, usuarios malintencionados pueden publicar noticias falsas en la red social modificando estos parámetros para que, aunque en Facebook aparezca una miniatura determinada que aumente las probabilidades de que el usuario haga clic, cuando realmente lo hace sea enviado a una página web falsa o maliciosa.

Facebook se ha negado a reconocer este fallo de seguridad alegando que la plataforma utiliza Link Shim para protegerse de estos ataques informáticos. Sin embargo, como se puede ver en el vídeo anterior, no es suficiente, y además es imposible conocer la URL real a la que nos llevará un anuncio de Facebook hasta que no hagamos clic sobre dicho anuncio.

Ver información original al respecto en Fuente: