Detectan una peligrosa falla de seguridad en Instagram que habría expuesto los datos de millones de usuarios

Una vulnerabilidad descubierta en Instagram —que ha sido recientemente solucionada— habría podido dejar expuestos los datos de sus usuarios a los ciberdelincuentes, de acuerdo con un informe de Forbes.

La falla de seguridad fue descubierta por un pirata informático israelí conocido en Twitter como ZHacker, quien la semana pasada aseguró que esta podía causar «una fuga de datos grave» de los usuarios de la red social como el nombre real, número de cuenta e identificadores de Instagram y números de teléfono completos. La vulnerabilidad involucraba al importador de contactos de la plataforma y permitiría a un atacante usar un «ejército de ‘bots'» para construir una base de datos de usuarios.

Para tal fin, los delincuentes llevan a cabo un ataque de fuerza bruta —forma de recuperar claves probando todas las combinaciones posibles— en el inicio de sesión de Instagram. Ingresan un número de teléfono incompleto y el algoritmo se encarga de completarlo hasta encontrar el correcto, que esté vinculado a la plataforma. Se calcula que con una sola versión de dicho ‘exploit’ se recolectarían más de 1.000 números reales al día.

Esta información es utilizada por ‘bots’ paracrear nuevos perfiles en la red social y a través de la herramienta ‘sincronizar contactos’ obtener los nombres de cuenta enlazados a esos números telefónicos. De esta manera se construye una base de datos de otras potenciales víctimas.

Instagram permite un máximo de tres sincronizaciones de contactos al día por cuenta; sin embargo, un delincuente con suficientes ‘bots’ podría evitar esta limitación. ZHacker señala que usando 40 de ellos en un solo equipo se obtuvieron 143 detalles de cuentas aleatorias y se vincularon 840 números de teléfono cada semana.

Respuesta lenta

A principios de agosto ZHacker informó a sobre el problema a Facebook —dueño de Instagram—, quien entonces respondió que ya era consciente del mismo pero que consideraba que representaba un «riesgo extremadamente bajo». Sin embargo, el experto insistió y subrayó la poca urgencia de la compañía por reparar el error, hasta que recientemente se reevaluó y ya ha sido solucionado. Hasta el momento no existe evidencia de que ningún usuario haya sido perjudicado mediante la vulnerabilidad.

Este incidente hace parte de una serie de inconvenientes que han rodeado a Facebook e Instagram actualmente. Esta semana fue hallada una vulnerabilidad que permite a los seguidores de un usuario con cuenta privada en estas dos redes sociales ver, descargar y distribuir sus fotos, videos e historias.

A inicios del mes Facebook afirmó que se había eliminado una gran base de datos de números de teléfono de usuarios filtrados a Internet. No obstante, un día después, un investigador de ciberseguridad descubrió otra base —en una página insegura y sin contraseña— que contenía los datos personales de 419 millones de usuarios de EE.UU., Reino Unido y Vietnam.