Este fallo de seguridad permitía hackear cualquier cuenta de Instagram en 10 minutos

Escrito por Rubén Velasco

Instagram es la red social, propiedad de Facebook, que permite a los usuarios compartir todo tipo de fotos con sus seguidores de la forma más sencilla y rápida posible. Esta red social cuenta con buenas medidas de seguridad que permite a los usuarios mantener sus cuentas protegidas, incluso con un sistema de doble autenticación para que, en caso de robo de contraseña, la cuenta siga protegida. Sin embargo, un fallo de seguridad que ha pasado desapercibido hasta ahora, ha estado poniendo en peligro la seguridad de todas las cuentas de todos los usuarios de esta red social.

Las cuentas de Instagram suelen ser una de las cuentas más perseguidas por los piratas informáticos debido a que contienen una gran cantidad de información personal de los usuarios, un gran prestigio y, además, pueden llegar muy fácilmente a una gran cantidad de usuarios.

No es la primera vez que Facebook queda en evidencia debido a la (in)seguridad de sus redes sociales, y es que sin ir más lejos el pasado mes de abril se vio obligado a solucionar una serie de fallos de seguridad en su red social que estaban poniendo en jaque la seguridad de los usuarios. Hoy, la compañía vuelve a estar en boca de todos debido a una grave vulnerabilidad en su plataforma, vulnerabilidad que permite a cualquier atacante robar cualquier cuenta de la red social en tan solo 10 minutos.

Un fallo en la función de recuperación de la contraseña de Instagram permitía tomar el control sobre cualquier cuenta

Este fallo de seguridad fue detectado hace ya varias semanas, pero se ha mantenido en secreto hasta hoy, cuando finalmente ha sido totalmente corregido y hacerlo público no supone ningún peligro para los usuarios.

Este fallo de seguridad se encontraba en el mecanismo de recuperación de las cuentas de Instagram, concretamente en la función de recuperación de la contraseña implementada en la la versión móvil de la red social. Cuando los usuarios hacen uso de esta función, tienen que confirmar un código de 6 dígitos que se envía a su número de móvil o correo electrónico asociado para validar su identidad.

Instagram cuenta con medidas de seguridad que impide que podamos aprovecharnos de la fuerza bruta para desbloquear cuentas. Sin embargo, el investigador de seguridad que ha descubierto este fallo ha demostrado que es posible probar combinaciones al azar desde varias direcciones IP (al menos 5000 IPs diferentes) sin que salte el bloqueo de fuerza bruta, como se muestra en el siguiente vídeo.

El investigador de seguridad utilizó tan solo 200.000 códigos de recuperación (el 20% de probabilidad de acertar) y, como demuestra, tuvo éxito a la hora de tomar el control de la mayoría de las cuentas. 5000 direcciones IP pueden parecer muchas, pero en realidad no es demasiado complicado de conseguir, ya sea alquilando unas botnet o simplemente usando un servidor de Google o Amazon que costaría en torno a unos 150 euros.

¿Son realmente seguras las redes sociales?

A menudo confiamos en las redes sociales tanto que solemos publicar en ellas todo tipo de contenido. Esto es un error, ya que, como vamos demostrando cada poco tiempo, la privacidad y seguridad de estas redes sociales suelen dejar mucho que desear. Concretamente en el caso de Facebook, hace un par de días pudimos ver cómo aplicaban una multa de 5000 millones de dólares por sus graves problemas de privacidad.

El investigador de seguridad que ha descubierto la vulnerabilidad ha sido recompensado con 30.000 dólares gracias al programa Bug Bounty de Facebook. Por ahora Instagram vuelve a ser una plataforma segura, aunque es muy probable que existan aún vulnerabilidades ocultas dentro de la red social, fallos de seguridad que poco a poco irán saliendo a la luz y esperamos que no lleguen a comprometer la seguridad de las cuentas de los usuarios.

Si usamos redes sociales como Facebook o Instagram, además de tener controladas las opciones de privacidad para saber quién puede o no puede ver nuestro contenido, es recomendable usar el sentido común y cuidar mucho lo que compartimos en ellas.

Fuente > thezerohack