Interesante información la que publican en la web de OSI relacionada con la falsificación de mensajes en Facebook. Como muchos sabrán, desde hace tiempo los usuarios podemos tener una dirección del tipo @facebook.com con nuestro nombre (+ info).
Pues bien, haciendo uso de esa dirección y el correo principal asociado a una cuenta (se puede ver en la pestaña «Información» de muchos perfiles), es posible falsificar un mensaje privado de tal forma que el destinatario crea que se lo envía alguno de sus amigos.
Veamos un ejemplo, lo que hago es enviar un mensaje a mi propia cuenta @facebook.com falsificando el remitente, en este caso por mi propio e-mail, pero podría utilizar el de cualquier amigo para que el mensaje parezca ser enviado desde su cuenta. El mensaje lo envío desde un servicio de e-mails anónimos:
El primer mensaje es falso y como se puede ver la única diferencia es una pequeña advertencia de color amarillo que indica que no se pudo confirmar su origen. Sin embargo esto podría pasar desapercibido para muchos usuarios.
Problema mayor: la advertencia no siempre se muestra
En las aplicaciones de Facebook para móviles y tabletas la advertencia no aparece, tampoco cuando el correo falsificado es una dirección con dominio propio (ejemplo@misitio.com) cosa que puede estar sucediendo porque el dominio no está configurado para evitar usos ilegítimos o Facebook no está realizando una buena comprobación antiphishing…
Sobre este último tema recomiendo esta serie de artículos publicados por Chema Alonso. También leer en la Wikipedia sobre SMTP (el protocolo de transferencia de correos) y los sistemas de autenticación SPF y DKIM.
Consejos:
Para evitar que puedan engañar a otros bajo tu nombre, no publiques el e-mail principal de la cuenta en el perfil. Puedes ocultarlo desde la sección Información / Información de contacto / Editar:
Y como siempre, ten mucho cuidado con los mensajes que recibes por Facebook, aunque parezcan ser enviados por un amigo de confianza!
Ver también:
Falsificar remitente en mensajes de texto.