Guía de tecnologías

Investigador descubre zero-day en Facebook que permite tomar el control de cualquier Página

5 min read Ciberseguridad Actualizado 03 Oct 2025
Zero-day en Facebook permite secuestrar Páginas
Zero-day en Facebook permite secuestrar Páginas

Un investigador de seguridad indio encontró una vulnerabilidad zero-day en Facebook Business Manager que permitía tomar el control de cualquier Página. La falla aprovechaba un Insecure Direct Object Reference; Facebook parcheó temporalmente el endpoint y luego lanzó una corrección completa en una semana. El investigador recibió una recompensa de $16,000 USD.

Investigador analizando seguridad en cuentas de Facebook

Qué sucedió

Facebook es una plataforma clave para negocios, marcas y figuras públicas que gestionan productos y comunicación a través de Páginas. Un investigador de seguridad, Arun Sureshkumar, publicó en su blog que encontró un zero-day en la forma en que Facebook maneja las solicitudes relacionadas con las cuentas empresariales (Business Manager).

Según su reporte, la vulnerabilidad permitía engañar a Facebook para obtener acceso administrativo a prácticamente cualquier Página, incluidas Páginas de alto perfil. Tras notificar a Facebook, el equipo de seguridad reconoció la criticidad del fallo, eliminó temporalmente el endpoint afectado y aplicó un parche completo en el plazo de una semana. El hallazgo fue recompensado con $16,000 USD.

Importante: no se han divulgado detalles que faciliten la explotación masiva. La corrección de Facebook evitó una ventana de exposición amplia.

Recompensa de 16.000 USD otorgada

¿Qué tipo de vulnerabilidad era?

La vulnerabilidad se describe como un Insecure Direct Object Reference (IDOR). En una línea: un IDOR ocurre cuando una aplicación permite el acceso directo a objetos (como Páginas o cuentas) mediante identificadores predecibles o manipulables sin comprobar correctamente la autorización.

Cómo se manifiesta aquí (resumen técnico):

  • Facebook Business Manager expone endpoints que aceptan identificadores de recursos (IDs de Páginas o cuentas).
  • Si la verificación de permisos era insuficiente, un atacante podía forjar o sustituir esos IDs en una solicitud API y escalar privilegios sobre la Página objetivo.
  • El investigador demostró un PoC (prueba de concepto) que mostraba el flujo y permitió la toma de control.

Mini-metodología (pasos generales del PoC)

  1. Identificar endpoints relacionados con Business Manager que acepten IDs de Páginas o activos.
  2. Confirmar que la respuesta cambia al modificar el ID sin un rechazo por autorización.
  3. Forjar una solicitud que asigne permisos administrativos sobre la Página al atacante o a su cuenta de Business Manager.
  4. Verificar control sobre la Página (publicaciones, configuración, roles).

Cuándo falla este enfoque / limitaciones

  • Si la API exige comprobaciones de propiedad o tokens firmados por servidor, un IDOR no es explotable.
  • Protecciones adicionales (rate limiting, monitoreo de anomalías) reducen la ventana de explotación.
  • Cambios en la arquitectura (por ejemplo, separar recursos por tenant) mitigarán este patrón.

Consejos y medidas para administradores de Páginas

  • Revisar los roles y accesos en Business Manager con frecuencia; retirar accesos inactivos.
  • Habilitar autenticación de dos factores (2FA) en cuentas con acceso administrativo.
  • Auditar integraciones de terceros y aplicaciones con permisos a Páginas.
  • Monitorizar actividad inusual: publicaciones no autorizadas, cambios de configuración o nuevos administradores.
  • Mantener contacto con el soporte de la plataforma y sus canales de seguridad para notificaciones.

Nota: estas medidas mitigan impacto operativo, pero no sustituyen un parche en la plataforma.

Lista de comprobación por rol

Seguridad investigadora:

  • Reproducir solo en entornos controlados.
  • Seguir divulgación responsable: reportar a la plataforma antes de publicar PoC.
  • Documentar pasos y pruebas sin exponer vectores explotables públicamente.

Administrador de Página:

  • Revisar y aprobar accesos en Business Manager.
  • Forzar 2FA y cambiar contraseñas si hay sospecha.
  • Extraer logs y contactar soporte si se detecta actividad anómala.

Equipo de seguridad de plataforma:

  • Validar y replicar el reporte.
  • Aplicar mitigación temporal si es necesario (por ejemplo, desactivar endpoint vulnerable).
  • Corregir raíz y comunicar a clientes afectados.

Caja de hechos

  • Vulnerabilidad: Insecure Direct Object Reference (IDOR).
  • Afectaba: Facebook Business Manager — acceso a Páginas.
  • Mitigación temporal: eliminación del endpoint afectado.
  • Parche completo: aplicado en aproximadamente una semana desde el reporte.
  • Recompensa: $16,000 USD al investigador.

Riesgos y mitigaciones (resumen)

Riesgos:

  • Secuestro de Páginas de empresas y figuras públicas.
  • Publicaciones no autorizadas que dañen reputación.
  • Acceso a datos privados o a otras integraciones vinculadas.

Mitigaciones inmediatas:

  • Parchear endpoints vulnerables.
  • Añadir validaciones de autorización por servidor.
  • Monitorizar patrones de acceso y bloquear solicitudes sospechosas.

Glosario (una línea cada término)

  • Zero-day: vulnerabilidad desconocida y sin parche al momento del descubrimiento.
  • IDOR: fallo de autorización que permite acceso directo a objetos usando identificadores manipulables.
  • Business Manager: herramienta de Facebook para gestionar Páginas y activos publicitarios de empresas.

Versión corta para anuncio (100–200 palabras)

Un investigador de seguridad descubrió un zero-day crítico en Facebook Business Manager que permitía tomar el control de Páginas mediante una vulnerabilidad tipo IDOR. Tras la notificación responsable, Facebook eliminó temporalmente el endpoint afectado y publicó un parche completo en aproximadamente una semana. La plataforma reconoció la gravedad del fallo y otorgó una recompensa de $16,000 USD al investigador. Los administradores de Páginas deben revisar accesos, habilitar 2FA y auditar integraciones para reducir riesgo mientras las plataformas mantienen actualizaciones de seguridad. Este caso subraya la importancia de la divulgación responsable y de las pruebas de autorización en APIs que manejan recursos empresariales.

Resumen final

  • Una vulnerabilidad IDOR en Business Manager permitió la toma de control de Páginas.
  • Facebook aplicó un parche temporal y una corrección completa en una semana.
  • El investigador fue recompensado con $16,000 USD.

Si eres administrador de una Página, revisa permisos y activa medidas de seguridad básicas de inmediato.

Compartir: X/Twitter Facebook LinkedIn Telegram
Autor
Edición

Materiales similares

Ver publicaciones que te gustaron en Instagram
Redes sociales

Ver publicaciones que te gustaron en Instagram

Ver publicaciones que te gustaron en Instagram
Redes sociales

Ver publicaciones que te gustaron en Instagram

Zero-day en Facebook permite secuestrar Páginas
Ciberseguridad

Zero-day en Facebook permite secuestrar Páginas

Cómo ver las publicaciones que te gustaron en Instagram
Redes sociales

Cómo ver las publicaciones que te gustaron en Instagram

Probar filtros de palabras clave: Dansguardian y SafeSquid
Control parental

Probar filtros de palabras clave: Dansguardian y SafeSquid

Ejecutar solucionador de problemas en Windows 11
Windows

Ejecutar solucionador de problemas en Windows 11