Teléfono: +52 (55) 5335 1181 | +52 (55) 5335 1182 Email: ventas@integridata.com.mx
24julio

Cómo fortalecer tu cuenta de Facebook para evitar que la roben

By Artículos

El siguiente artículo es un aporte de ElLadoDelMal.

facebook seguridad

En este artículo vamos a repasar las opciones para fortalecer el proceso de login, así como las sesiones y las comunicaciones entre Facebook y tú. Estas son algunas de las recomendaciones que deberías seguir si quieres hacer que tu cuenta de Facebook sea mucho más segura.

La cuenta de correo de usuario de Facebook.

Un punto inicial importante es decidir cuál es la cuenta de usuario asociada al perfil de Facebook. Lo recomendable es que sea una cuenta de correo no conocida por nadie – puede ser una cuenta de correo que no se use para nada más -, y que no pueda ser vista o consultada por nadie.

facebook email security

Además, esa cuenta de usuario debería estar protegida con un segundo factor de autenticación basado en SMS o en Google Authenticator u otros, para que siempre pudiéramos tenerla controlada.

La contraseña de Facebook.

La elección de la contraseña de Facebook debe ser más o menos como todas. Mi recomendación es que las passwords complejas en la web deben morir y el de muchos otros que dudan de su efectividad, pero tampoco pongas una contraseña que alguna persona de tu entorno pueda conocer porque la utilizas en otros servicios. Además, si al principio utilizas un carácter alfabético, recuerda que Facebook permite utilizar también la password con los valores en mayúsculas y minúsculas, generando tres passwords en total.

facebook formatos de contraseña

Es casi más importante que la cambies periódicamente. Una buena estrategia es ponerse en el calendario una cita cíclica cada mes, por ejemplo, y utilizar un gestor de contraseñas que protejas con una clave maestra segura. Recuerda que si utilizas un gestor de contraseñas en la nube y es hackeado -como sucedió con LastPass-, la password maestra es lo último que va a salvar tu contraseña.

Alertas de Inicio de Sesión en tu cuenta Facebook.

Facebook, cada vez que inicias sesión hace un fingerprinting del cliente. Esto es, una recolección de la huella digital de tu conexión para saber desde dónde te estás conectando (dirección IP, zona geográfica, sistema operativo, versión del navegador, y datos varios).

alertas en facebook

Si te conectas desde un dispositivo nuevo o un nuevo navegador Facebook te puede enviar un SMS o un correo electrónico. Como curiosidad, la imagen del logo de Facebook viene enlazada en el mensaje de correo, lo que le permite a la compañía hacer doxing de dónde y cuándo se abre el correo electrónico de la alerta, incluso si lo haces desde el proxy de Gmail, que permite saber información del User-Agent -aunque no de la dirección IP-.

correo alerta de facebook

Si eliges que te envíe un correo electrónico, ten en cuenta que para los ataques de phishing este es un buen gancho para ponerte nervioso e intentar robarte la cuenta con un Spear Phishing como explicaba yo en el caso del robo de cuentas de iCloud con un correo electrónico de alerta de la propia Apple.

revisión detalle de conexión

Si dejas las activadas las alertas de login por correo electrónico es una buena opción utilizar las claves PGP para las comunicaciones. Así te será muy fácil saber si ese correo que te viene desde Facebook es auténtico o es un ataque de phishing para robarte las cuentas.

El segundo factor de autenticación con mensajes SMS One-Time Password.

Como en la mayoría de los servicios online, Facebook también permite que los procesos de login desde dispositivos nuevos o los nuevos navegadores tengan que ser aprobados por un código One-Time Password para proteger tu identidad. En este caso, vía mensaje SMS a tu número de teléfono.

activación otp sms

Si activas esta opción, debes fortificar el acceso a la SIM de tu terminal. Para ello protege el código PIN de tu tarjeta, pero también el código PUK y los datos del contrato con tu operadora para evitar un posible ataque de SIM Swapping y no uses SIMs antiguas que puedan ser clonadas.

Los códigos de aprobación de un solo uso.

Estos códigos de aprobación se pueden generar desde la app de Facebook instalada en un terminal móvil con la sesión iniciada o desde la propia sesión web. Facebook te dará una lista de códigos de un solo uso que podrás utilizar para aprobar el acceso a tu cuenta desde un nuevo dispositivo o un nuevo navegador.

códigos de aprovación app facebook

Estos códigos tienen la ventaja de que los puedes llevar guardados y no necesitas disponer de teléfono y son especiales para cuando estas fuera de tu país en entornos de roaming o sin teléfono disponible.

código de aprobación facebook app

Si se configura el modo Auto, en lugar de acceder a una lista de códigos la app de Facebook te mostrará el código OTP cada vez que se vaya a realizar un proceso de login desde un nuevo dispositivo o un nuevo navegador.

Las contraseñas de aplicación.

Cuando tienes un segundo factor de autenticación con OTP o con códigos de aprobación, las aplicaciones que se conecten a tu cuenta, si lo hacen con tus credenciales de Facebook, tendrán que pasar también el proceso de verificación en dos pasos. Para evitar eso, se pueden utilizar las passwords de aplicación.

generar password aplicación facebook seguridad

Esto tiene además, como ventaja añadida, que si estás utilizando tu cuenta Facebook en una aplicación de móvil de otros que permite autenticarse con Facebook, entonces puedes también evitar que si te la roban te roben toda tu cuenta, ya que las passwords de aplicación no tienen el control total de tu cuenta y no pueden hacer todas las acciones que se pueden hacer con un inicio de sesión con las credenciales principales de la cuenta.

Las apps conectadas a tu cuenta.

Además de las passwords de aplicación, en Facebook puedes autorizar a aplicaciones para que tengan ciertos permisos de acceso a tu cuenta. Esto puede ser para tomar solo información, pero también para postear o acceder a tus mensajes. Aplicaciones con Tinder utilizan esta conexión con tu cuenta para acceder a tus fotografías, biografía, etcétera.

petición app para generar token oauth facebook

Estos tokens OAuth son los que se pueden robar en aplicaciones inseguras, o pueden ser utilizados en esquemas de ataque de phishing, así que es muy importante que periódicamente revises que apps tienen acceso a tu cuenta y elimines toda aquella que no debiera estar.

Los navegadores y dispositivos de confianza.

Además de las apps, en esa misma opción se pueden revisar cuáles son los dispositivos y navegadores de confianza que no necesitarán un segundo factor de autenticación vía OTP o vía código aprobación de un sólo uso.

dispositivos y navegadores reconocidos facebook

Si alguno es un dispositivo que ya no utilizas o es de un equipo desde el que te conectaste puntualmente, elimínalo. Es conveniente que cuando te conectes desde un dispositivo o navegador nuevo tengas cuidado y no lo guardes en la lista de confianza si es una conexión puntual.

guardar browser como navegador de confianza

Desde aquí puedes eliminarlos todos y si necesitas volver a usarlo, con pasar el proceso de verificación en dos pasos, todo listo.

Los contactos de confianza.

Muchos son los que han sufrido el robo de una cuenta o grupo de Facebook, por lo que lo mejor que se puede hacer es tener un contacto de confianza que pueda ayudarte a recuperar la cuenta cuando esto pase.

contacto de confianza facebook

Ojo, que tu contacto de confianza sea tu contacto de confianza y no una persona que pueda volverse en tu contra. Elige sabiamente o no elijas a nadie ante la duda.

Control de Sesiones Abiertas manualmente o con Latch.

Otra opción interesante es la de vigilar constantemente qué sesiones tienes abiertas. Esto permitirá detectar ataques de hijacking que te hayan robado cookies de sesión vía un ataque de man in the middle -usando por ejemplo un Bridging HTTPs(IPv4)-HTTP(IPv6) como el que usé yo en el programa de Salvados -o porque hayas tenido un descuido y te hayan robado la cookie en unos segundos que te dejaste la sesión abierta.

gestión de sesión de facebook

Para controlar esto de forma constante, el hack para integrar Latch con Facebook es una buena opción, ya que en el momento que se detectan nuevas sesiones se puede forzar su cerrado tal y como se explica en este post “Un hack para integrar Latch con Facebook” y permite controlar las sesiones tal y como se ve en el siguiente vídeo.

Este mismo truco con Latch también se puede aplicar a las sesiones de las cuentas de iCloud, Gmail o GitHub, tal y como se explican en los artículos correspondientes.

Palabras finales.

Además de todo esto, reforzar las opciones de privacidad para controlar quién puede ver tu información es más que recomendable. Si algún atacante busca una app mágica para hackear Facebook, que estas opciones de fortificación hagan que se lleve una buena sorpresa, tal vez en forma de adware o de ser estafado por alguno de esos “hackers for hire” que se alquilan por ahí para robar cuentas de Facebook y acaban engañando a la gente.

1 Like