Meta informó que no se hace responsable de los robos de cuentas personales en sus redes sociales Instagram y Facebook mediante la recuperación de contraseñas a través del uso de números de teléfonos reciclados, ya que no tiene control sobre los proveedores de telecomunicaciones, ni sobre los usuarios.
El reciclaje de los números de teléfono es una práctica común entre las operadoras de telefonía móvil, cuando reasignan números de teléfono que han dejado de ser utilizados a nuevos clientes. De esta forma, el nuevo cliente pasa a ser propietario de un número de teléfono que ya había sido usado anteriormente por otro usuario.
Una vez los usuarios dan de baja un número de teléfono, por ejemplo, porque se han cambiado de compañía operadora, las operadoras disponen de un periodo de espera hasta que el número puede volver a ser utilizado por otra persona. En el caso de España el plazo de reasignación es de 30 días.
Sin embargo, cuando se abandona un número de teléfono se ha de desvincular también de los servicios digitales o plataformas a las que esté asociado, ya que, en caso de no actualizar esta información, otros usuarios pueden hacer uso de dicho número para acceder a las cuentas vinculadas e, incluso, robarlas.
Es el caso de un usuario conocido como malfeasancee en Reddit que, al intentar iniciar sesión en su cuenta de Instagram con su número de teléfono nuevo, consiguió entrar en una cuenta de otra persona en dicha red social.
Tras ello, el usuario probó a acceder a otras plataformas como TikTok, Snapchat, Amazon, Facebook y Messenger con el mismo proceso. Según detalla, todas las cuentas de los servicios mencionados anteriormente “eran fácilmente accesibles con el nuevo número de teléfono”.
Habitualmente, para acceder a una cuenta personal, es necesario introducir credenciales basadas en un nombre de usuario y una contraseña. Sin embargo, en la mayoría de estos servicios se permite vincular el número de teléfono para llevar a cabo acciones como restablecer la contraseña.
Los usuarios pueden insertar el número de teléfono para que la plataforma en cuestión envíe un número de verificación y, tras ello, completar el inicio de sesión. De esta forma, no es necesaria la validación con el correo electrónico ni utilizar la contraseña.
Por ejemplo, en el caso de Instagram, basta con pinchar en la opción ‘¿Has olvidado la contraseña?’, en la página de inicio de sesión para que se pueda introducir el número de teléfono en cuestión. Tras ello, la plataforma procede a enviar un enlace a través del que recuperar el inicio de sesión.
Así, se ha de tener en cuenta que esta práctica se basa en un acceso no autorizado a un servicio personal, aunque pueda ser de forma involuntaria.
En este marco, Meta se ha manifestado al respecto detallando que no se hace responsable de los robos de cuentas de sus redes sociales a través del uso de números reciclados, ya que “no tiene control sobre los proveedores de telecomunicaciones que remiten números de teléfono”, ni sobre los usuarios que mantienen “un número de teléfono vinculado a su cuenta de Facebook que ya no está registrado para ellos”.
Así lo ha señalado la propietaria de Instagram y Facebook en declaraciones a The Register, tras la alerta del consultor de privacidad Alexander Hanff, enviada a Meta, informando de este tipo de problemas.
Meta reconoce que hay situaciones en las que un usuario, con un número de teléfono reciclado “podría activar un restablecimiento de contraseña de Facebook”. Sin embargo, ha señalado que, “si bien esto es preocupante”, no lo considera un error que deba enmarcarse en el programa de recompensas por errores -desde el que los usuarios pueden señalar las vulnerabilidades de seguridad encontradas en servicios de Meta- y, por tanto, no se hace responsable.
Esta problemática de seguridad no es nueva, ya que ha ocurrido en otras ocasiones con, por ejemplo, el servicio de mensajería WhatsApp cuando, al recibir un nuevo número de teléfono y vincularlo con la ‘app’, los nuevos propietarios se encontraban con conversaciones que pertenecen a la persona que utilizaba el número de teléfono anteriormente.
En este caso, según WhatsApp, cuando detectan una activación en un nuevo dispositivo, tras haber pasado 45 días de inactividad, lo tratan como una cuenta nueva con un número reciclado. Asimismo, eliminan los datos de la cuenta antigua, como la foto del perfil y la información.
Con todo ello, es importante que los usuarios recuerden actualizar los datos relacionados con su número de teléfono vinculado al acceso de servicios web y plataformas cuando cambien de número, de cara a prevenir estos posibles robos de cuentas.