Un investigador de seguridad informática llamado Ben Sadeghipour logró lo que muchos profesionales de la ciberseguridad consideran un verdadero golpe maestro: descubrió una grave vulnerabilidad en los servidores internos de Facebook, lo que lo llevó a recibir una recompensa de 100.000 dólares por parte de Meta, la empresa propietaria de la red social.
Sadeghipour se encontraba analizando la plataforma publicitaria de Facebook cuando detectó un fallo que le permitía ejecutar comandos en uno de los servidores internos de la compañía, otorgándole un control total sobre este.
Según explicó, el problema radicaba en un fallo previamente conocido y corregido en el navegador Chrome, el cual Facebook utiliza en su sistema de anuncios. Sin embargo, el servidor publicitario de la red social seguía siendo vulnerable porque no había sido actualizado correctamente.
Con este acceso, Sadeghipour pudo haber explotado el fallo para interactuar con el resto de la infraestructura interna de Facebook. “Lo que lo hace peligroso es que probablemente era parte de una infraestructura interna”, declaró el investigador a TechCrunch.
Aunque optó por no profundizar en las acciones que podría haber realizado dentro del servidor, explicó que la vulnerabilidad habría permitido extraer datos o evadir ciertas medidas de seguridad de la plataforma.
Inmediatamente después de identificar el problema, el investigador presentó un informe a Meta, señalando la urgencia de resolver el fallo. “Supongo que es algo que quizás quieras solucionar porque está directamente dentro de tu infraestructura”, escribió en su reporte.
Meta respondió rápidamente al hallazgo, solicitándole que se abstuviera de realizar más pruebas mientras corregían el problema, lo que les llevó apenas una hora.
Sadeghipour trabajó en este reporte junto con el investigador independiente Alex Chapman. Según él, las plataformas de publicidad en línea suelen ser objetivos atractivos para los ciberataques debido a la gran cantidad de datos que procesan, como videos, textos e imágenes. Esto abre múltiples puertas para posibles vulnerabilidades.
La recompensa de Meta no solo reconoce su esfuerzo, sino que también refuerza la relevancia de los programas de “bug bounty”, en los que investigadores externos ayudan a detectar fallos críticos antes de que sean explotados por actores malintencionados.
Cómo reportar una vulnerabilidad a Meta
Reportar una vulnerabilidad a Meta es un proceso estructurado que forma parte de su programa de recompensas por errores, conocido como “bug bounty”. Este programa incentiva a investigadores de ciberseguridad a informar vulnerabilidades de manera responsable antes de que puedan ser explotadas.
El primer paso para realizar un reporte es confirmar y documentar la vulnerabilidad. Es fundamental reproducir el error para asegurarse de que sea legítimo y no un caso aislado.
Durante este proceso, es importante recopilar evidencia detallada, como capturas de pantalla, ejemplos de código o cualquier prueba técnica que respalde el hallazgo. Además, es esencial actuar de manera ética y no intentar acceder a datos sensibles ni explotar el fallo más allá de lo necesario para validarlo.
Una vez confirmada la vulnerabilidad, el siguiente paso es acceder al portal oficial del programa de seguridad de Meta, disponible en https://bugbounty.meta.com/. Desde allí, se puede completar un formulario para enviar el informe.
Este debe incluir una descripción clara de la vulnerabilidad, los pasos exactos para reproducirla, las evidencias recopiladas y una explicación sobre el impacto potencial del fallo. Por ejemplo, se debe detallar cómo podría ser explotado y los riesgos que presenta para los usuarios o la infraestructura de Meta.
Es importante respetar las reglas del programa. Esto incluye no acceder a datos de usuarios, no interrumpir los servicios de la plataforma y abstenerse de realizar más pruebas tras haber enviado el informe. Una vez recibido el reporte, el equipo de seguridad de Meta evaluará la información, determinará la gravedad del fallo y, si corresponde, notificará al investigador sobre el resultado.
Si el hallazgo es legítimo, Meta otorga recompensas económicas basadas en el impacto y la gravedad de la vulnerabilidad. Estas pueden variar desde cientos de dólares hasta sumas significativas, como los 100.000 dólares que recibió el investigador Ben Sadeghipour por encontrar un fallo crítico en octubre de 2024.