Seguridad e Inicio de Sesi\u00f3n<\/a>. All\u00ed, se enumeran todos los dispositivos en los que las personas est\u00e1n conectadas a Facebook y de las que puede salir con un solo clic.<\/p>\nActualizaci\u00f3n del 28 de Septiembre de 2018 a las 4:45PM PT <\/b><\/i><\/p>\nM\u00e1s detalles t\u00e9cnicos<\/b><\/h2>\n
Por Pedro Canahuati, VP de Ingenier\u00eda, Seguridad y Privacidad<\/i><\/p>\n
A continuaci\u00f3n, informamos algunos detalles t\u00e9cnicos adicionales sobre el incidente de seguridad.<\/p>\n
A principios de esta semana, descubrimos un ataque que se vali\u00f3 de una vulnerabilidad para exponer los tokens de acceso de una serie de cuentas en HTML, corriendo un componente espec\u00edfico de la funci\u00f3n \u201cVer Como\u201d. Esta vulnerabilidad fue el resultado de la interacci\u00f3n de tres bugs<\/i> diferentes.<\/p>\n
Primero: \u201c<\/b>Ver Como\u201d es una funci\u00f3n de seguridad que permite a las personas visualizar c\u00f3mo luce su perfil para los dem\u00e1s. \u201cVer Como\u201d deber\u00eda ser una interfaz de solo lectura. Sin embargo, para una ‘composici\u00f3n’ en particular -como se denomina la caja para publicar contenido en Facebook-, espec\u00edficamente la que permite a las personas saludar a sus amigos en sus cumplea\u00f1os, \u201cVer Como\u201d permiti\u00f3, por error, publicar un v\u00eddeo.<\/p>\n
Segundo: <\/b>Una nueva versi\u00f3n de nuestra funci\u00f3n para subir v\u00eddeos (la interfaz resultante del primer bug), que fue introducida en julio de 2017, gener\u00f3 un token de acceso err\u00f3neo que conten\u00eda permisos de la app m\u00f3vil de Facebook.<\/p>\n
Tercero<\/b>: Cuando la funci\u00f3n para subir v\u00eddeos aparec\u00eda como parte de \u00abVer Como\u00bb, generaba un token de acceso, pero no para ti, sino para el usuario que t\u00fa estabas mirando.<\/p>\n
La combinaci\u00f3n de estos tres errores fue responsable de generar la vulnerabilidad: al usar la funci\u00f3n \u00abVer Como\u00bb para visualizar tu perfil como lo ver\u00eda un amigo, el c\u00f3digo no elimin\u00f3 la ‘composici\u00f3n’ que permite a las personas desear feliz cumplea\u00f1os. Eso hizo que la funci\u00f3n para subir v\u00eddeos generara un token de acceso cuando no deb\u00eda hacerlo; y el token de acceso generado no era para ti, sino para quien era mirado. Ese token de acceso estaba luego disponible en el HTML de la p\u00e1gina, que los atacantes pudieron extraer y explotar para iniciar una sesi\u00f3n como si fuera otro usuario.<\/p>\n
Los atacantes pudieron utilizar ese token de acceso para otras cuentas, y repitiendo esas acciones, obtener m\u00e1s tokens de acceso.<\/p>\n
Para proteger las cuentas de las personas, hemos corregido esta vulnerabilidad. Tambi\u00e9n hemos restablecido los tokens de acceso de los casi 50 millones de cuentas que sabemos que se vieron afectadas y, preventivamente, restablecimos los tokens de otros 40 millones de cuentas que fueron vistas con la funcionalidad \u00abVer Como\u00bb en el \u00faltimo a\u00f1o. Por \u00faltimo, hemos desactivado temporalmente la funci\u00f3n \u00abVer Como\u00bb mientras realizamos una exhaustiva revisi\u00f3n de seguridad.<\/p>\n
<\/div>\n","protected":false},"excerpt":{"rendered":"Por Guy Rosen, VP de Producto El martes 25 de septiembre por la tarde nuestro equipo de ingenieros detect\u00f3 un incidente de seguridad que afect\u00f3 a por lo menos 40 millones de cuentas. Tomamos este incidente con extrema seriedad y queremos que todos est\u00e9n informados de las acciones que adoptamos inmediatamente para proteger la seguridad de las personas. Nuestra investigaci\u00f3n est\u00e1 a\u00fan en una fase inicial. Pero es evidente que los atacantes explotaron una vulnerabilidad en el c\u00f3digo de Facebook, que impact\u00f3 a la herrmienta \u201cVer Como\u201d, que permite a los usuarios mirar c\u00f3mo lucen sus propios perfiles desde la \u00f3ptica de otras personas. Esto les permiti\u00f3 robar tokens de acceso a Facebook, que luego podr\u00edan ser empleadas para tomar el control de cuentas de usuarios. Los tokens de acceso son el equivalente a llaves digitales que mantienen a las personas conectadas a Facebook y evitan que tengan que reingresar su clave cada vez que quieren usar la plataforma. Estas son las medidas que ya tomamos. Primero, reparamos la vulnerabilidad y reportamos el caso a las autoridades. Segundo, reiniciamos los tokens de acceso de las casi 50 millones de cuentas que sabemos que fueron afectadas para garantizar su seguridad. Adem\u00e1s, tomamos la medida de inhabilitar los tokens de acceso de otras 40 millones de cuentas que usaron la funcionalidad \u201cVer Como\u201d en el \u00faltimo a\u00f1o. Como resultado, cerca de 90 millones de personas deber\u00e1n ahora reconectarse a Facebook o alguna de las aplicaciones a las que se accede utilizando Facebook. Luego de reconectarse, los usuarios recibir\u00e1n una notificaci\u00f3n en su News Feed, explicando lo sucedido. Tercero, desactivamos temporalmente la herramienta \u201cVer Como\u201d, mientras realizamos un chequeo exhaustivo de la seguridad. Este ataque aprovech\u00f3 una compleja interacci\u00f3n entre m\u00faltiples aspectos de nuestro c\u00f3digo. Fue originado a un cambio que hicimos del c\u00f3digo de nuestra herramienta para subir videos en julio de 2017, que impact\u00f3 la funcionalidad \u201cVer Como\u201d. Los atacantes identificaron esta vulnerabilidad y la utilizaron para conseguir un token de acceso, para despu\u00e9s emplear esa cuenta como p\u00edvot para acceder a otras cuentas y robar m\u00e1s tokens. Nuestra investigaci\u00f3n reci\u00e9n comienza y a\u00fan deberemos determinar si las cuentas afectadas fueron abusadas o si los atacantes lograron acceder a alg\u00fan tipo de informaci\u00f3n. Tampoco sabemos qui\u00e9n est\u00e1 detr\u00e1s de estos ataques o d\u00f3nde se encuentran. Estamos trabajando a tiempo completo para obtener todos esos detalles y actualizaremos este blogpost cuando tengamos nueva informaci\u00f3n para compartir. Adicionalmente, si detectamos que m\u00e1s cuentas fueron afectadas, reiniciaremos inmediatamente sus tokens. La privacidad y la seguridad de las personas son de una importancia central y lamentamos que esto haya pasado. Es por eso que actuamos apenas detectamos el problema para asegurar las cuentas e informar a los usuarios. No hay necesidad de que las personas cambien sus claves. Pero aquellos que tengan dificultades para volver a conectarse a Facebook, por ejemplo porque no recuerdan su clave, deben visitar nuestro Servicio de Ayuda. Y si alguien quiere, por precauci\u00f3n, desconectarse de la plataforma, debe ir a la secci\u00f3n Seguridad e Inicio de Sesi\u00f3n. All\u00ed, se enumeran todos los dispositivos en los que las personas est\u00e1n conectadas a Facebook y de las que puede salir con un solo clic. Actualizaci\u00f3n del 28 de Septiembre de 2018 a las 4:45PM PT M\u00e1s detalles t\u00e9cnicos Por Pedro Canahuati, VP de Ingenier\u00eda, Seguridad y Privacidad A continuaci\u00f3n, informamos algunos detalles t\u00e9cnicos adicionales sobre el incidente de seguridad. A principios de esta semana, descubrimos un ataque que se vali\u00f3 de una vulnerabilidad para exponer los tokens de acceso de una serie de cuentas en HTML, corriendo un componente espec\u00edfico de la funci\u00f3n \u201cVer Como\u201d. Esta vulnerabilidad fue el resultado de la interacci\u00f3n de tres bugs diferentes. Primero: \u201cVer Como\u201d es una funci\u00f3n de seguridad que permite a las personas visualizar c\u00f3mo luce su perfil para los dem\u00e1s. \u201cVer Como\u201d deber\u00eda ser una interfaz de solo lectura. Sin embargo, para una ‘composici\u00f3n’ en particular -como se denomina la caja para publicar contenido en Facebook-, espec\u00edficamente la que permite a las personas saludar a sus amigos en sus cumplea\u00f1os, \u201cVer Como\u201d permiti\u00f3, por error, publicar un v\u00eddeo. Segundo: Una nueva versi\u00f3n de nuestra funci\u00f3n para subir v\u00eddeos (la interfaz resultante del primer bug), que fue introducida en julio de 2017, gener\u00f3 un token de acceso err\u00f3neo que conten\u00eda permisos de la app m\u00f3vil de Facebook. Tercero: Cuando la funci\u00f3n para subir v\u00eddeos aparec\u00eda como parte de \u00abVer Como\u00bb, generaba un token de acceso, pero no para ti, sino para el usuario que t\u00fa estabas mirando. La combinaci\u00f3n de estos tres errores fue responsable de generar la vulnerabilidad: al usar la funci\u00f3n \u00abVer Como\u00bb para visualizar tu perfil como lo ver\u00eda un amigo, el c\u00f3digo no elimin\u00f3 la ‘composici\u00f3n’ que permite a las personas desear feliz cumplea\u00f1os. Eso hizo que la funci\u00f3n para subir v\u00eddeos generara un token de acceso cuando no deb\u00eda hacerlo; y el token de acceso generado no era para ti, sino para quien era mirado. Ese token de acceso estaba luego disponible en el HTML de la p\u00e1gina, que los atacantes pudieron extraer y explotar para iniciar una sesi\u00f3n como si fuera otro usuario. Los atacantes pudieron utilizar ese token de acceso para otras cuentas, y repitiendo esas acciones, obtener m\u00e1s tokens de acceso. Para proteger las cuentas de las personas, hemos corregido esta vulnerabilidad. Tambi\u00e9n hemos restablecido los tokens de acceso de los casi 50 millones de cuentas que sabemos que se vieron afectadas y, preventivamente, restablecimos los tokens de otros 40 millones de cuentas que fueron vistas con la funcionalidad \u00abVer Como\u00bb en el \u00faltimo a\u00f1o. Por \u00faltimo, hemos desactivado temporalmente la funci\u00f3n \u00abVer Como\u00bb mientras realizamos una exhaustiva revisi\u00f3n de seguridad.","protected":false},"author":128816270,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[54,30660046],"tags":[],"class_list":["post-6634","post","type-post","status-publish","format-standard","hentry","category-general","category-noticias-de-la-empresa"],"yoast_head":"\n
Una Actualizaci\u00f3n en materia de Seguridad | Acerca de Meta<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Una Actualizaci\u00f3n en materia de Seguridad | Acerca de Meta\" \/>\n<meta property=\"og:description\" content=\"Por Guy Rosen, VP de Producto El martes 25 de septiembre por la tarde nuestro equipo de ingenieros detect\u00f3 un incidente de seguridad que afect\u00f3 a por lo menos 40 millones de cuentas. Tomamos este incidente con extrema seriedad y queremos que todos est\u00e9n informados de las acciones que adoptamos inmediatamente para proteger la seguridad de las personas. Nuestra investigaci\u00f3n est\u00e1 a\u00fan en una fase inicial. Pero es evidente que los atacantes explotaron una vulnerabilidad en el c\u00f3digo de Facebook, que impact\u00f3 a la herrmienta \u201cVer Como\u201d, que permite a los usuarios mirar c\u00f3mo lucen sus propios perfiles desde la \u00f3ptica de otras personas. Esto les permiti\u00f3 robar tokens de acceso a Facebook, que luego podr\u00edan ser empleadas para tomar el control de cuentas de usuarios. Los tokens de acceso son el equivalente a llaves digitales que mantienen a las personas conectadas a Facebook y evitan que tengan que reingresar su clave cada vez que quieren usar la plataforma. Estas son las medidas que ya tomamos. Primero, reparamos la vulnerabilidad y reportamos el caso a las autoridades. Segundo, reiniciamos los tokens de acceso de las casi 50 millones de cuentas que sabemos que fueron afectadas para garantizar su seguridad. Adem\u00e1s, tomamos la medida de inhabilitar los tokens de acceso de otras 40 millones de cuentas que usaron la funcionalidad \u201cVer Como\u201d en el \u00faltimo a\u00f1o. Como resultado, cerca de 90 millones de personas deber\u00e1n ahora reconectarse a Facebook o alguna de las aplicaciones a las que se accede utilizando Facebook. Luego de reconectarse, los usuarios recibir\u00e1n una notificaci\u00f3n en su News Feed, explicando lo sucedido. Tercero, desactivamos temporalmente la herramienta \u201cVer Como\u201d, mientras realizamos un chequeo exhaustivo de la seguridad. Este ataque aprovech\u00f3 una compleja interacci\u00f3n entre m\u00faltiples aspectos de nuestro c\u00f3digo. Fue originado a un cambio que hicimos del c\u00f3digo de nuestra herramienta para subir videos en julio de 2017, que impact\u00f3 la funcionalidad \u201cVer Como\u201d. Los atacantes identificaron esta vulnerabilidad y la utilizaron para conseguir un token de acceso, para despu\u00e9s emplear esa cuenta como p\u00edvot para acceder a otras cuentas y robar m\u00e1s tokens. Nuestra investigaci\u00f3n reci\u00e9n comienza y a\u00fan deberemos determinar si las cuentas afectadas fueron abusadas o si los atacantes lograron acceder a alg\u00fan tipo de informaci\u00f3n. Tampoco sabemos qui\u00e9n est\u00e1 detr\u00e1s de estos ataques o d\u00f3nde se encuentran. Estamos trabajando a tiempo completo para obtener todos esos detalles y actualizaremos este blogpost cuando tengamos nueva informaci\u00f3n para compartir. Adicionalmente, si detectamos que m\u00e1s cuentas fueron afectadas, reiniciaremos inmediatamente sus tokens. La privacidad y la seguridad de las personas son de una importancia central y lamentamos que esto haya pasado. Es por eso que actuamos apenas detectamos el problema para asegurar las cuentas e informar a los usuarios. No hay necesidad de que las personas cambien sus claves. Pero aquellos que tengan dificultades para volver a conectarse a Facebook, por ejemplo porque no recuerdan su clave, deben visitar nuestro Servicio de Ayuda. Y si alguien quiere, por precauci\u00f3n, desconectarse de la plataforma, debe ir a la secci\u00f3n Seguridad e Inicio de Sesi\u00f3n. All\u00ed, se enumeran todos los dispositivos en los que las personas est\u00e1n conectadas a Facebook y de las que puede salir con un solo clic. Actualizaci\u00f3n del 28 de Septiembre de 2018 a las 4:45PM PT M\u00e1s detalles t\u00e9cnicos Por Pedro Canahuati, VP de Ingenier\u00eda, Seguridad y Privacidad A continuaci\u00f3n, informamos algunos detalles t\u00e9cnicos adicionales sobre el incidente de seguridad. A principios de esta semana, descubrimos un ataque que se vali\u00f3 de una vulnerabilidad para exponer los tokens de acceso de una serie de cuentas en HTML, corriendo un componente espec\u00edfico de la funci\u00f3n \u201cVer Como\u201d. Esta vulnerabilidad fue el resultado de la interacci\u00f3n de tres bugs diferentes. Primero: \u201cVer Como\u201d es una funci\u00f3n de seguridad que permite a las personas visualizar c\u00f3mo luce su perfil para los dem\u00e1s. \u201cVer Como\u201d deber\u00eda ser una interfaz de solo lectura. Sin embargo, para una ‘composici\u00f3n’ en particular -como se denomina la caja para publicar contenido en Facebook-, espec\u00edficamente la que permite a las personas saludar a sus amigos en sus cumplea\u00f1os, \u201cVer Como\u201d permiti\u00f3, por error, publicar un v\u00eddeo. Segundo: Una nueva versi\u00f3n de nuestra funci\u00f3n para subir v\u00eddeos (la interfaz resultante del primer bug), que fue introducida en julio de 2017, gener\u00f3 un token de acceso err\u00f3neo que conten\u00eda permisos de la app m\u00f3vil de Facebook. Tercero: Cuando la funci\u00f3n para subir v\u00eddeos aparec\u00eda como parte de \u00abVer Como\u00bb, generaba un token de acceso, pero no para ti, sino para el usuario que t\u00fa estabas mirando. La combinaci\u00f3n de estos tres errores fue responsable de generar la vulnerabilidad: al usar la funci\u00f3n \u00abVer Como\u00bb para visualizar tu perfil como lo ver\u00eda un amigo, el c\u00f3digo no elimin\u00f3 la ‘composici\u00f3n’ que permite a las personas desear feliz cumplea\u00f1os. Eso hizo que la funci\u00f3n para subir v\u00eddeos generara un token de acceso cuando no deb\u00eda hacerlo; y el token de acceso generado no era para ti, sino para quien era mirado. Ese token de acceso estaba luego disponible en el HTML de la p\u00e1gina, que los atacantes pudieron extraer y explotar para iniciar una sesi\u00f3n como si fuera otro usuario. Los atacantes pudieron utilizar ese token de acceso para otras cuentas, y repitiendo esas acciones, obtener m\u00e1s tokens de acceso. Para proteger las cuentas de las personas, hemos corregido esta vulnerabilidad. Tambi\u00e9n hemos restablecido los tokens de acceso de los casi 50 millones de cuentas que sabemos que se vieron afectadas y, preventivamente, restablecimos los tokens de otros 40 millones de cuentas que fueron vistas con la funcionalidad \u00abVer Como\u00bb en el \u00faltimo a\u00f1o. Por \u00faltimo, hemos desactivado temporalmente la funci\u00f3n \u00abVer Como\u00bb mientras realizamos una exhaustiva revisi\u00f3n de seguridad.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/\" \/>\n<meta property=\"og:site_name\" content=\"Acerca de Meta\" \/>\n<meta property=\"article:published_time\" content=\"2018-09-28T17:05:39+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2019-11-04T19:15:32+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png\" \/>\n<meta name=\"author\" content=\"acp1103\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Meta\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"5 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/\"},\"author\":\"Facebook company\",\"headline\":\"Una Actualizaci\u00f3n en materia de Seguridad\",\"datePublished\":\"2018-09-28T17:05:39+00:00\",\"dateModified\":\"2019-11-04T19:15:32+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/\"},\"wordCount\":1022,\"publisher\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/#organization\"},\"image\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png\",\"articleSection\":[\"General\",\"Noticias de la Empresa\"],\"inLanguage\":\"es\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/\",\"url\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/\",\"name\":\"Una Actualizaci\u00f3n en materia de Seguridad | Acerca de Meta\",\"isPartOf\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png\",\"datePublished\":\"2018-09-28T17:05:39+00:00\",\"dateModified\":\"2019-11-04T19:15:32+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/\"]}],\"author\":\"Acerca de Meta\"},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#primaryimage\",\"url\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png?fit=960%2C599\",\"contentUrl\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png?fit=960%2C599\",\"width\":960,\"height\":599},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/about.fb.com\/ltam\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Una Actualizaci\u00f3n en materia de Seguridad\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/about.fb.com\/ltam\/#website\",\"url\":\"https:\/\/about.fb.com\/news\/\",\"name\":\"Acerca de Meta\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/about.fb.com\/ltam\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"es\",\"alternateName\":[\"Meta Newsroom\",\"Meta\"]},{\"@type\":\"Organization\",\"@id\":\"https:\/\/about.fb.com\/ltam\/#organization\",\"name\":\"Meta\",\"url\":\"https:\/\/about.fb.com\/ltam\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/about.fb.com\/ltam\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2021\/10\/meta-social-16x9-1.jpg?fit=8000%2C4500\",\"contentUrl\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2021\/10\/meta-social-16x9-1.jpg?fit=8000%2C4500\",\"width\":8000,\"height\":4500,\"caption\":\"Meta\"},\"image\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/#\/schema\/logo\/image\/\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Una Actualizaci\u00f3n en materia de Seguridad | Acerca de Meta","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/","og_locale":"es_ES","og_type":"article","og_title":"Una Actualizaci\u00f3n en materia de Seguridad | Acerca de Meta","og_description":"Por Guy Rosen, VP de Producto El martes 25 de septiembre por la tarde nuestro equipo de ingenieros detect\u00f3 un incidente de seguridad que afect\u00f3 a por lo menos 40 millones de cuentas. Tomamos este incidente con extrema seriedad y queremos que todos est\u00e9n informados de las acciones que adoptamos inmediatamente para proteger la seguridad de las personas. Nuestra investigaci\u00f3n est\u00e1 a\u00fan en una fase inicial. Pero es evidente que los atacantes explotaron una vulnerabilidad en el c\u00f3digo de Facebook, que impact\u00f3 a la herrmienta \u201cVer Como\u201d, que permite a los usuarios mirar c\u00f3mo lucen sus propios perfiles desde la \u00f3ptica de otras personas. Esto les permiti\u00f3 robar tokens de acceso a Facebook, que luego podr\u00edan ser empleadas para tomar el control de cuentas de usuarios. Los tokens de acceso son el equivalente a llaves digitales que mantienen a las personas conectadas a Facebook y evitan que tengan que reingresar su clave cada vez que quieren usar la plataforma. Estas son las medidas que ya tomamos. Primero, reparamos la vulnerabilidad y reportamos el caso a las autoridades. Segundo, reiniciamos los tokens de acceso de las casi 50 millones de cuentas que sabemos que fueron afectadas para garantizar su seguridad. Adem\u00e1s, tomamos la medida de inhabilitar los tokens de acceso de otras 40 millones de cuentas que usaron la funcionalidad \u201cVer Como\u201d en el \u00faltimo a\u00f1o. Como resultado, cerca de 90 millones de personas deber\u00e1n ahora reconectarse a Facebook o alguna de las aplicaciones a las que se accede utilizando Facebook. Luego de reconectarse, los usuarios recibir\u00e1n una notificaci\u00f3n en su News Feed, explicando lo sucedido. Tercero, desactivamos temporalmente la herramienta \u201cVer Como\u201d, mientras realizamos un chequeo exhaustivo de la seguridad. Este ataque aprovech\u00f3 una compleja interacci\u00f3n entre m\u00faltiples aspectos de nuestro c\u00f3digo. Fue originado a un cambio que hicimos del c\u00f3digo de nuestra herramienta para subir videos en julio de 2017, que impact\u00f3 la funcionalidad \u201cVer Como\u201d. Los atacantes identificaron esta vulnerabilidad y la utilizaron para conseguir un token de acceso, para despu\u00e9s emplear esa cuenta como p\u00edvot para acceder a otras cuentas y robar m\u00e1s tokens. Nuestra investigaci\u00f3n reci\u00e9n comienza y a\u00fan deberemos determinar si las cuentas afectadas fueron abusadas o si los atacantes lograron acceder a alg\u00fan tipo de informaci\u00f3n. Tampoco sabemos qui\u00e9n est\u00e1 detr\u00e1s de estos ataques o d\u00f3nde se encuentran. Estamos trabajando a tiempo completo para obtener todos esos detalles y actualizaremos este blogpost cuando tengamos nueva informaci\u00f3n para compartir. Adicionalmente, si detectamos que m\u00e1s cuentas fueron afectadas, reiniciaremos inmediatamente sus tokens. La privacidad y la seguridad de las personas son de una importancia central y lamentamos que esto haya pasado. Es por eso que actuamos apenas detectamos el problema para asegurar las cuentas e informar a los usuarios. No hay necesidad de que las personas cambien sus claves. Pero aquellos que tengan dificultades para volver a conectarse a Facebook, por ejemplo porque no recuerdan su clave, deben visitar nuestro Servicio de Ayuda. Y si alguien quiere, por precauci\u00f3n, desconectarse de la plataforma, debe ir a la secci\u00f3n Seguridad e Inicio de Sesi\u00f3n. All\u00ed, se enumeran todos los dispositivos en los que las personas est\u00e1n conectadas a Facebook y de las que puede salir con un solo clic. Actualizaci\u00f3n del 28 de Septiembre de 2018 a las 4:45PM PT M\u00e1s detalles t\u00e9cnicos Por Pedro Canahuati, VP de Ingenier\u00eda, Seguridad y Privacidad A continuaci\u00f3n, informamos algunos detalles t\u00e9cnicos adicionales sobre el incidente de seguridad. A principios de esta semana, descubrimos un ataque que se vali\u00f3 de una vulnerabilidad para exponer los tokens de acceso de una serie de cuentas en HTML, corriendo un componente espec\u00edfico de la funci\u00f3n \u201cVer Como\u201d. Esta vulnerabilidad fue el resultado de la interacci\u00f3n de tres bugs diferentes. Primero: \u201cVer Como\u201d es una funci\u00f3n de seguridad que permite a las personas visualizar c\u00f3mo luce su perfil para los dem\u00e1s. \u201cVer Como\u201d deber\u00eda ser una interfaz de solo lectura. Sin embargo, para una ‘composici\u00f3n’ en particular -como se denomina la caja para publicar contenido en Facebook-, espec\u00edficamente la que permite a las personas saludar a sus amigos en sus cumplea\u00f1os, \u201cVer Como\u201d permiti\u00f3, por error, publicar un v\u00eddeo. Segundo: Una nueva versi\u00f3n de nuestra funci\u00f3n para subir v\u00eddeos (la interfaz resultante del primer bug), que fue introducida en julio de 2017, gener\u00f3 un token de acceso err\u00f3neo que conten\u00eda permisos de la app m\u00f3vil de Facebook. Tercero: Cuando la funci\u00f3n para subir v\u00eddeos aparec\u00eda como parte de \u00abVer Como\u00bb, generaba un token de acceso, pero no para ti, sino para el usuario que t\u00fa estabas mirando. La combinaci\u00f3n de estos tres errores fue responsable de generar la vulnerabilidad: al usar la funci\u00f3n \u00abVer Como\u00bb para visualizar tu perfil como lo ver\u00eda un amigo, el c\u00f3digo no elimin\u00f3 la ‘composici\u00f3n’ que permite a las personas desear feliz cumplea\u00f1os. Eso hizo que la funci\u00f3n para subir v\u00eddeos generara un token de acceso cuando no deb\u00eda hacerlo; y el token de acceso generado no era para ti, sino para quien era mirado. Ese token de acceso estaba luego disponible en el HTML de la p\u00e1gina, que los atacantes pudieron extraer y explotar para iniciar una sesi\u00f3n como si fuera otro usuario. Los atacantes pudieron utilizar ese token de acceso para otras cuentas, y repitiendo esas acciones, obtener m\u00e1s tokens de acceso. Para proteger las cuentas de las personas, hemos corregido esta vulnerabilidad. Tambi\u00e9n hemos restablecido los tokens de acceso de los casi 50 millones de cuentas que sabemos que se vieron afectadas y, preventivamente, restablecimos los tokens de otros 40 millones de cuentas que fueron vistas con la funcionalidad \u00abVer Como\u00bb en el \u00faltimo a\u00f1o. Por \u00faltimo, hemos desactivado temporalmente la funci\u00f3n \u00abVer Como\u00bb mientras realizamos una exhaustiva revisi\u00f3n de seguridad.","og_url":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/","og_site_name":"Acerca de Meta","article_published_time":"2018-09-28T17:05:39+00:00","article_modified_time":"2019-11-04T19:15:32+00:00","og_image":[{"url":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png","type":"","width":"","height":""}],"author":"acp1103","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Meta","Est. reading time":"5 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#article","isPartOf":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/"},"author":"Facebook company","headline":"Una Actualizaci\u00f3n en materia de Seguridad","datePublished":"2018-09-28T17:05:39+00:00","dateModified":"2019-11-04T19:15:32+00:00","mainEntityOfPage":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/"},"wordCount":1022,"publisher":{"@id":"https:\/\/about.fb.com\/ltam\/#organization"},"image":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#primaryimage"},"thumbnailUrl":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png","articleSection":["General","Noticias de la Empresa"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/","url":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/","name":"Una Actualizaci\u00f3n en materia de Seguridad | Acerca de Meta","isPartOf":{"@id":"https:\/\/about.fb.com\/ltam\/#website"},"primaryImageOfPage":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#primaryimage"},"image":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#primaryimage"},"thumbnailUrl":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png","datePublished":"2018-09-28T17:05:39+00:00","dateModified":"2019-11-04T19:15:32+00:00","breadcrumb":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/"]}],"author":"Acerca de Meta"},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#primaryimage","url":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png?fit=960%2C599","contentUrl":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png?fit=960%2C599","width":960,"height":599},{"@type":"BreadcrumbList","@id":"https:\/\/about.fb.com\/ltam\/news\/2018\/09\/una-actualizacion-en-materia-de-seguridad\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/about.fb.com\/ltam\/"},{"@type":"ListItem","position":2,"name":"Una Actualizaci\u00f3n en materia de Seguridad"}]},{"@type":"WebSite","@id":"https:\/\/about.fb.com\/ltam\/#website","url":"https:\/\/about.fb.com\/news\/","name":"Acerca de Meta","description":"","publisher":{"@id":"https:\/\/about.fb.com\/ltam\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/about.fb.com\/ltam\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es","alternateName":["Meta Newsroom","Meta"]},{"@type":"Organization","@id":"https:\/\/about.fb.com\/ltam\/#organization","name":"Meta","url":"https:\/\/about.fb.com\/ltam\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/about.fb.com\/ltam\/#\/schema\/logo\/image\/","url":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2021\/10\/meta-social-16x9-1.jpg?fit=8000%2C4500","contentUrl":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2021\/10\/meta-social-16x9-1.jpg?fit=8000%2C4500","width":8000,"height":4500,"caption":"Meta"},"image":{"@id":"https:\/\/about.fb.com\/ltam\/#\/schema\/logo\/image\/"}}]}},"jetpack_featured_media_url":"","jetpack-related-posts":[],"jetpack_sharing_enabled":true,"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/posts\/6634","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/users\/128816270"}],"replies":[{"embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/comments?post=6634"}],"version-history":[{"count":4,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/posts\/6634\/revisions"}],"predecessor-version":[{"id":7621,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/posts\/6634\/revisions\/7621"}],"wp:attachment":[{"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/media?parent=6634"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/categories?post=6634"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/tags?post=6634"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2018\/09\/1st-image-1.png?resize=960%2C599\")
<\/p>\n