El leonés Alfredo Arias, albañil de profesión y conocido en el mundo virtual como "Minipunk", ha descubierto un fallo de seguridad en Facebook que permite enviar mensajes privados suplantando la identidad de cualquier usuario.

Arias ha comentado que se trata de una vulnerabilidad "muy peligrosa" porque alguien se puede hacer pasar por cualquier amigo o empresa y generar "problemas muy graves".

Según ha explicado, el procedimiento para lograrlo es "bastante sencillo" y consiste en manipular un formulario web, con remitente, destinatario y mensaje. Para ello, se busca en los datos del perfil una dirección de correo electrónico vinculada a Facebook, se elige el nombre del usuario que recibirá el mensaje y se rellena el formulario.

La información enviada, ha apuntado, no se identifica como un correo electrónico y aparecerá como un mensaje privado de uno de tus contactos.

En una de sus pruebas, enviadas a su propia cuenta de Facebook para denunciar la vulnerabilidad y que están publicadas en su blog "http://el-internauta-de-leon.blogspot.com", se hace pasar por el secretario general autonómico del PSOE de Castilla y León, el senador Óscar López, con el texto: "Puedo pedirte el voto para un partido. Puedo promover la venta de un producto. Puedo fingir que tu pareja es infiel. Siendo quien soy es fácil que me creas".

Arias ha precisado que hay algunas cuentas como las de gmail y hotmail que tienen previstos mecanismos de seguridad y muestran una advertencia -solo visible en la web, no en los terminales móviles-, pero que en las de la mayoría de las empresas, por ejemplo, no ocurre lo mismo.

"Si yo tengo una casa rural y me he registrado con el correo electrónico de la casa, te va a mostrar mi nombre, mi cara y no te va a avisar. ¿Y si invito a todo el mundo a pasar un fin de semana gratis? Se crea un problema muy grave", ha subrayado.

La denuncia de Arias ha fue recogida por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), que en la web de su Oficina de Seguridad del Internauta (OSI), recomienda deshabilitar la funcionalidad de correo en Facebook para solucionar la deficiencia.

Para comprobar la vulnerabilidad, la OSI se remitió a sí misma un mensaje aparentemente enviado por la cantante Lady Gaga: "¿Conoces la OSI? Muy bonito página, bueno trabajo en la OSI seguridad. Navegad segulos por la Internet" (sic).

El INTECO, que ya ha puesto el problema en conocimiento de Facebook, señala que aunque la deficiencia es común a todos los servicios de correo, "adquiere mayor dimensión al integrarse con el ecosistema de la propia red social".

Tras asegurar que "a día de hoy" no se tiene constancia de campañas fraudulentas que estén utilizando este método, el instituto ha recordado que la suplantación de identidades es un delito tipificado en el código penal.

El descubrimiento realizado por Alfredo Arias, que además de albañil es un usuario muy activo de Twitter y Facebook y hace colaboraciones profesionales sobre mantenimiento y gestión de contenidos en redes sociales, ha trascendido porque para probarlo envió varios mensajes falsos al periódico El Mundo, que ha sido el primero en informar de este asunto.