El internauta español, Alfredo Arias, de León, fue quien hizo la denuncia sobre el fallo que tiene el sistema de correo de Facebook, y ha enviado su investigación a Inteco, que lo ha publicado en su boletín de seguridad y además ha publicado también en su blog. Según ha Arias, a explicado a unos de los periódicos digitales mas visto en Internet, que tan solo conociendo la direccion de correo de dos contactos, el del remitente y el del receptor es posible enviar correos que aparecen en Facebook como mensajes privados y que parecen un contacto fiable.

 Según Inteco, este defecto "se deriva del propio protocolo de correo electrónico de Internet, que es el que utiliza Facebook y otros proveedores de servicio similares, y que no permite por defecto asegurar al receptor quien es el auténtico emisor del correo". Se trata de un problema ya conocido, pero "aunque el problema es común a todos los servicios de correo, en Facebook adquiere mayor dimensión al integrarse con el ecosistema de la propia red social. 

Los mensajes suplantados aparecerían como una notificación más, con su nombre e imagen asociada, y lo que puede resultar más peligroso, los atacantes podrían investigar los contactos de la victima (muchas veces públicos) y utilizar alguno de ellos para la suplantación haciendo el mensaje mucho más creíble. O incluso utilizando el perfil de algún famoso". El sistema de suplantación es realmente sencillo y se puede llevar a cabo mediante un simple formulario web, rellenando los campos remitente, destinatario y mensaje. 

Este correo electrónico se envía al correo asociado a Facebook y aparece dentro de la conversación que el usuario que lo recibe mantenía con el contacto que supuestamente se lo envía. El aspecto es prácticamente idéntico a un mensaje privado a través de la red social y difícil de identificar.