Si bien el robo de cuentas y los fallos de seguridad se han convertido, por desgracia, en habituales de la actualidad informativa, lo cierto es que la mayoría de plataformas que se ven afectadas por determinados fallos tratan de poner una solución inmediata a sus vulnerabilidades. Algo que, sin embargo y supuestamente, parece no estar haciendo Instagram en el siguiente caso.
Efectivamente, porque Pepe Ortuño, usuario de la plataforma y Digital Project Manager en T20 Media, ha denunciado a través de Twitter una situación que enfurecería a cualquiera y que viene produciéndose desde el 11 de mayo: que le han robado, hasta tres veces en un solo mes, su cuenta de Instagram. Y no solo, eso sino que, según él, la red social no toma las medidas necesarias para poner fin al problema.
El caso en cuestión
Llevaban meses intentando robármela. Y por ello puse una contraseña muy chunga. Ni con esas.
— Pepe Ortuño (@Pep) 11 de mayo de 2016
Así, y en la citada fecha, Ortuño empieza advirtiendo de lo que le ha ocurrido: “Perfecto. Me han robado la cuenta de Instagram. ¿Y ahora qué hago?”. Algo que, según afirma, los ciberdelincuentes venían intentando desde hacía año y medio y que lograron a pesar de cambiar su contraseña y optar por una “muy chunga”.
Un asunto del que se percató tras recibir un correo electrónico de la plataforma en el que se incluía el clásico “si no has solicitado cambiar tu contraseña, inicia sesión y cambia la contraseña” y cuya responsabilidad atribuye por completo a la red social.
En gmail tengo verificación de 2 pasos y no hay accesos que no sean míos. No han accedido a mi mail Ha sido en instagram todo. /@davidcuen
— Pepe Tuvo que esperar hasta **16 horas para que obtener una respuesta** de la comunidad -a pesar de escribir a 5 personas distintas que trabajan en ella y Facebook-. Una contestación en la que le pidieron que hiciera acopio de paciencia mientras procedían a comprobar su caso. Poco después le plantearon una particular solución: que verificara el email que tenía la cuenta @pep, algo bastante curioso puesto que esta había sido secuestrada.Ortuño decidió entonces proporcionarles aquel con el que se había registrado inicialmente (al mismo tiempo que abrió otro perfil en esta herramienta e informó a sus seguidores). Una dirección que no solo no sirvió sino que le llevó a recibir un email en el que Instagram le ayudaba a recuperar la cuenta, pero no la que había sido robada, sino **la nueva**. Ortuño (@Pep) 11 de mayo de 2016“Instagram no verifica nada y permite que alguien, sin saber mi contraseña, la resetee, cambie mi mail y me robe el usuario”
No obstante recuperarla y un día después, la historia empezó a amenazar con repetirse, momento que aprovechó para pedir a voces la verificación en dos pasos en Instagram . El 29 de ese mismo mes empezó a recibir varios mensajes directos al día procedentes de toda clase de cuentas, unas conversaciones en las que decidió no entrar por precaución.
Ya están de nuevo intentándolo con instagram. Necesito la autenticacion 2 pasos ya. pic.twitter.com/ijdvVcf6mf
— Pepe Ortuño (@Pep) 13 de mayo de 2016
El 3 de junio, sin embargo, volvieron a robarle la cuenta, un hecho que atribuye entonces a un fallo en los mensajes directos. Un error –que explicamos seguidamente- que algunos medios de comunicación se encargaron de reportar. Pocas horas más tarde, Pep descubrió que podía volver a entrar, pero que no tenía la opción de ver sus fotos. Por la tarde, el perfil se bloqueó completamente.
Me han vuelto a robar la cuenta de Instagram. Esta confirmado que es por una vulnerabilidad en los DM. @davidcuen pic.twitter.com/iPFSsYooR4
Pepe Ortuño (@Pep)
Al día siguiente, recibió un correo de Instagram en el que lamentaban “no poder tramitar” su solicitud “a través de este canal” ni tampoco “realizar ninguna acción adicional en relación con este informe”. En román paladino: se lavaban las manos.
Primera respuesta de instagram. Se lavan las manos. @davidcuen pic.twitter.com/uMHTFOXZpo
— Pepe Ortuño (@Pep) 4 de junio de 2016
Recuperó el control el 7 de junio –tampoco especifica cómo-, algo que no pareció sentarle demasiado bien a los hackers de Instagram, pues recibió hasta 800 e-mails. Incluso uno de los atacantes, se hizo con su teléfono móvil y se dedicó a escribirle por WhatsApp. Este mismo domingo, volvió a suceder. Pero, ¿POR QUÉ? ¿Qué lo hace posible?
Pues ya está. He sido borrado de instagram. Esta era mi cuenta, con mis seguidores y demás. Y NO PASA NADA. pic.twitter.com/vUiBfRSNRg
— Pepe Ortuño (@Pep) 11 de junio de 2016
El (presunto) fallo
Como comentábamos, el fallo (atribuido por Pep) por el que los ciberdelincuentes tendrían la posibilidad de hacerse con este control en Instagram se debeía a dos errores presentes en la red social que ya fueron evidenciados en diciembre del año pasado y en mayo de 2016 por el “cazador de bugs” belga Arne Swinnen, que averiguó, precisamente, cómo estos podían obtener con el mínimo esfuerzo las contraseñas de cualquier usuario.
Respecto al primero, lo achaca a la débil política de contraseñas de la entidad y a su práctica de utilizar identificadores de usuario incrementales (o sea, Paco1, Paco2, Paco3, por ejemplo). “Esto podría haber permitido a un atacante comprometer varias cuentas sin ninguna interacción del usuario”, comenta.
En concreto, lo que Swinnen descubrió fue que cualquier interesado podría haber realizado un ataque por fuerza bruta a través de la API de autenticación móvil Android. De acuerdo con su post, los primeros mil intentos de ataques de fuerza bruta a través de esa API dieron una respuesta “la contraseña que has introducido es incorrecta”. En los siguientes intentos, el servidor informó de que el nombre de usuario no se había encontrado. Unas respuestas, según él, “no confiables”.
Un proceso que decidió automatizar mediante la creación de un script con el que testeó hasta 10 mil contraseñas en una cuenta de Instagram. “La única limitación de esta posibilidad es que, de media, se necesitan dos peticiones de autenticación para poder contrastar una única contraseña. El investigador, asimismo, fue capaz de entrar en la cuenta comprometida desde la misma dirección IP con la que estaba llevando a cabo el ataque en cuestión.
Ya en mayo, Swinnen topó con otra vulnerabilidad que afecta, en este caso, a la página de registro web de la red social. Un fallo que podría permitir llevar a cabo otro ataque de fuerza bruta en la misma sin que se produzca bloqueo de cuenta o medida de seguridad al respecto. En concreto y para que te hagas una idea, tuvo que probar más de 10 mil veces (contraseñas) antes de dar con un nombre de usuario y contraseña correctos.
Asimismo, el desarrollador belga, asegura que existen algunos factores que hacen que el secuestro de cuentas sea especialmente sencillo en Instagram, como el asunto de la autenticación en dos pasos, la débil política de bloqueo y los escasos controles de seguridad de la firma. En todo caso, la multinacional asegura haber parcheado estas vulnerabilidades y mejorado su política de contraseñas. Pero algún bug o problema debe haber todavía para que ocurran situaciones como la de Pep.
Un pequeño ejemplo de cuentas hackeadas por el grupo árabe. Y esto sacado en 2 minutos. Hay cientos. pic.twitter.com/ooOO4tnkH2
— Pepe Ortuño (@Pep) 4 de junio de 2016
Volviendo al caso que nos ocupa y durante su investigación, este usuario puso también de manifiesto que su situación no era única, ya que descubrió que un grupo árabe se dedicaba a robar cualquier cuenta de tres letras. Una información que iremos ampliando sobre la marcha en función de los datos y decisiones que vayan conociéndose al respecto.
En Genbeta | Un niño de 10 años “le saca” 10 mil euros a Instagram. ¿Qué pasa con los hackers menores de edad?
Ver 2 comentarios