Nota: Antes de empezar hay que aclarar algo: No es posible saber quien visita tu perfil de Facebook, la red social no ofrece esa funcionalidad, y tampoco lo pueden hacer aplicaciones de terceros.

Hace un par de días estaba “dándome una vuelta” por Facebook a ver si había algo “interesante”. Para ser honestos, no había mucho que ver, pero una publicación en especifico llamó mi atención:

Spam_FB

Dejando de lado la bien elaborada imagen que acompañaba la publicación (La imagen se compone de la foto de perfil del usuario acompañada de ocho fotos de otros perfiles, quizá tomadas al azar) me llamó la atención que en esta ocasión, la supuesta “aplicación” para descubrir quien visita nuestro perfil fuese en un simple archivo HTML alojado en Dropbox (Esto, supongo yo, con la intención de evadir los filtros antispam que tiene implementados fb). Bien, tiempo de investigar un poco más.

Llegado a este punto debo aclarar que no soy forense ni experto en seguridad informática, así que no esperen un análisis detallado de esta situación xD.

Al analizar el archivo HTML del archivo alojado en Dropbox nos encontramos con un montón de código JavaScript “ofuscado” que a primera vista no nos aporta mucha información sobre lo que ocurre en realidad detrás de cámaras. Cuando abro el archivo en el navegador, este archivo se encarga de redirigirnos a un sitio web en un dominio .ga (Una búsqueda Whois no revela nada de información sobre este dominio) donde, a cambio de instalar una supuesta extensión para Google Chrome, se nos ofrece de manera gratuita el “servicio” para descubrir quien visita nuestro perfil de Facebook.

Captura de pantalla_2016-05-12_17-22-32

La supuesta extensión, llamada “Regex Search”, fue subida hace un par de días, no tiene descripción y tampoco tiene reseña alguna (y curiosamente el autor tiene el mismo nombre que el dominio donde está alojada la supuesta aplicación). Recordando un poco las clases de programación de la universidad, puedo decir que una “regex search” por lo regular se utiliza para encontrar patrones en un texto, con la intención de guardarlos en alguna variable o manipular el texto encontrado

Captura de pantalla_2016-05-12_17-08-40

Analizando un poco el código fuente de la página que contiene la “aplicación”, se puede ver que después de instalar la extensión para Chrome, se llama a un bloque de código escrito en JavaScript que aparentemente hace uso de las funciones que provee esta misma, sean las que sean. En mi opinión, es aquí cuando este scam/spam cumple su cometido: Se genera la imagen que aparecerá en nuestra cuenta de FB, se pública y toma control de nuestra cuenta. Es aquí cuando deja de ser divertido este asunto. Pero la cosa no termina aquí.

Spamvertising everywhere

Experimentemos un poco: Cambiemos el User-Agent del navegador: ¡Sorpresa! ¡El sitio mostrado en las redirecciones depende del dispositivo en el que lo visitemos! Empecemos con Android.

Captura de pantalla_2016-05-12_17-23-10

“Malware” en mi “Android”

Si visitamos el script ofuscado desde un android, nos redirige a una pagina que asegura que un escaneo ha encontrado malware y este tiene que ser limpiado de manera inmediata. El sitio nos recibe con un pitido acompañado de una voz recitando “virus encontrado” en portugués. Si esperamos un poco, somos redirigidos a la Play Store donde se nos invita a descargar una aplicación legitima para optimizar nuestro dispositivo.

No se que pensar en este caso. A juzgar por la reputación que tiene la aplicación en cuestión, quiero darle al desarrollador el beneficio de la duda, y quiero suponer que el desarrollador no está consciente de que el servicio de publicidad que contrató recurre a estas practicas poco éticas para promocionar los productos (Asustar a los usuarios con la publicidad, además del hecho de que esta publicidad llega mediante un script que secuestra cuentas de FB). En caso contrario (que esta sea su estrategia de publicidad), me parece que es algo lamentable que quieran ganar dinero de esta manera.

Captura de pantalla_2016-05-12_17-29-04

Cuando ejecutamos el script desde un dispositivo que ejecuta iOS, nos redirige a un sitio que nos invita a suscribirnos a un servicio de SMS premium, mientras que si lo intentamos desde cualquier otro dispositivo, nos dirige a sitios para adultos, que cambian un poco dependiendo del dispositivo en cuestión.

El peligro de las redirecciones y el malvertising

Dejando de lado lo molesto y aparatoso que puede ser caer en uno de estos sitios con publicidad engañosa,  hay algo que no podemos pasar por alto: En cada redirección en la que “caemos”, existe la posibilidad de que seamos víctimas de un exploit proveniente de un sitio que sirva publicidad maliciosa (malvertising).

Entonces, algo queda muy claro: Lo que hagamos en una computadora conectada a internet, tiene una gran posibilidad de afectar lo que hagamos en la “vida real” (Lease: Ransomware, adware, etc).

¿Qué se puede hacer?

Vayamos parte por parte. Primero que nada, ¿Es posible saber quien visita nuestro perfil de Facebook? La respuesta es un rotundo no. Citando textualmente la seccion de ayuda de Facebook:

Puede saber la gente que vi su perfil?

No, Facebook no permite que la gente sepa quién mira su perfil. Tampoco hay ninguna aplicación de terceros que ofrezca esta función.

Si encuentras una aplicación que afirme ofrecer esta función, repórtala.

Ninguna aplicación de terceros puede modificar y/o alterar de manera radical el funcionamiento de facebook. Ni cambiarle el color, ni entregar nuevos emoticon/emoji, ni nada. Evitar el uso de estas aplicaciones y/o extensiones para navegador es el primer paso para evitar un “virus de facebook”.

Además de lo anterior, es muy importante tener un antivirus instalado y actualizado en nuestra computadora. Evitemos utilizar antivirus “piratas”, es una practica peligrosa y carente de sentido, principalmente porque existe una gran cantidad de opciones gratuitas que protegerán nuestra información de manera igualmente efectiva.

Además de lo anterior, complementar nuestro antivirus con herramientas como Malwarebytes Antiexploit y Malwarebytes Anti-Ransomware (O el Antiransomware de Bitdefender).

Por último, si nuestra computadora ya ha sido afectada por uno de estos “malware”, lo ideal es pedir ayuda en un foro especializado, como el Foro de Infospyware, donde voluntarios y expertos pueden ayudarnos a resolver estas situaciones.