Si bien el robo de cuentas y los fallos de seguridad se han convertido, por desgracia, en habituales de la actualidad informativa, lo cierto es que la mayoría de plataformas que se ven afectadas por determinados fallos tratan de poner una solución inmediata a sus vulnerabilidades. Algo que, sin embargo y supuestamente, parece no estar haciendo Instagram en el siguiente caso.
Efectivamente, porque Pepe Ortuño, usuario de la plataforma y Digital Project Manager en T20 Media, ha denunciado a través de Twitter una situación que enfurecería a cualquiera y que viene produciéndose desde el 11 de mayo: que le han robado, hasta tres veces en un solo mes, su cuenta de Instagram. Y no solo, eso sino que, según él, la red social no toma las medidas necesarias para poner fin al problema.
El caso en cuestión
Así, y en la citada fecha, Ortuño empieza advirtiendo de lo que le ha ocurrido: “Perfecto. Me han robado la cuenta de Instagram. ¿Y ahora qué hago?”. Algo que, según afirma, los ciberdelincuentes venían intentando desde hacía año y medio y que lograron a pesar de cambiar su contraseña y optar por una “muy chunga”.
Un asunto del que se percató tras recibir un correo electrónico de la plataforma en el que se incluía el clásico “si no has solicitado cambiar tu contraseña, inicia sesión y cambia la contraseña” y cuya responsabilidad atribuye por completo a la red social.
No obstante recuperarla y un día después, la historia empezó a amenazar con repetirse, momento que aprovechó para pedir a voces la verificación en dos pasos en Instagram . El 29 de ese mismo mes empezó a recibir varios mensajes directos al día procedentes de toda clase de cuentas, unas conversaciones en las que decidió no entrar por precaución.
El 3 de junio, sin embargo, volvieron a robarle la cuenta, un hecho que atribuye entonces a un fallo en los mensajes directos. Un error –que explicamos seguidamente- que algunos medios de comunicación se encargaron de reportar. Pocas horas más tarde, Pep descubrió que podía volver a entrar, pero que no tenía la opción de ver sus fotos. Por la tarde, el perfil se bloqueó completamente.
Al día siguiente, recibió un correo de Instagram en el que lamentaban “no poder tramitar” su solicitud “a través de este canal” ni tampoco “realizar ninguna acción adicional en relación con este informe”. En román paladino: se lavaban las manos.
Recuperó el control el 7 de junio –tampoco especifica cómo-, algo que no pareció sentarle demasiado bien a los hackers de Instagram, pues recibió hasta 800 e-mails. Incluso uno de los atacantes, se hizo con su teléfono móvil y se dedicó a escribirle por WhatsApp. Este mismo domingo, volvió a suceder. Pero, ¿POR QUÉ? ¿Qué lo hace posible?
El (presunto) fallo
Como comentábamos, el fallo (atribuido por Pep) por el que los ciberdelincuentes tendrían la posibilidad de hacerse con este control en Instagram se debeía a dos errores presentes en la red social que ya fueron evidenciados en diciembre del año pasado y en mayo de 2016 por el “cazador de bugs” belga Arne Swinnen, que averiguó, precisamente, cómo estos podían obtener con el mínimo esfuerzo las contraseñas de cualquier usuario.
Respecto al primero, lo achaca a la débil política de contraseñas de la entidad y a su práctica de utilizar identificadores de usuario incrementales (o sea, Paco1, Paco2, Paco3, por ejemplo). “Esto podría haber permitido a un atacante comprometer varias cuentas sin ninguna interacción del usuario”, comenta.
En concreto, lo que Swinnen descubrió fue que cualquier interesado podría haber realizado un ataque por fuerza bruta a través de la API de autenticación móvil Android. De acuerdo con su post, los primeros mil intentos de ataques de fuerza bruta a través de esa API dieron una respuesta “la contraseña que has introducido es incorrecta”. En los siguientes intentos, el servidor informó de que el nombre de usuario no se había encontrado. Unas respuestas, según él, “no confiables”.
Un proceso que decidió automatizar mediante la creación de un script con el que testeó hasta 10 mil contraseñas en una cuenta de Instagram. “La única limitación de esta posibilidad es que, de media, se necesitan dos peticiones de autenticación para poder contrastar una única contraseña. El investigador, asimismo, fue capaz de entrar en la cuenta comprometida desde la misma dirección IP con la que estaba llevando a cabo el ataque en cuestión.
Ya en mayo, Swinnen topó con otra vulnerabilidad que afecta, en este caso, a la página de registro web de la red social. Un fallo que podría permitir llevar a cabo otro ataque de fuerza bruta en la misma sin que se produzca bloqueo de cuenta o medida de seguridad al respecto. En concreto y para que te hagas una idea, tuvo que probar más de 10 mil veces (contraseñas) antes de dar con un nombre de usuario y contraseña correctos.
Asimismo, el desarrollador belga, asegura que existen algunos factores que hacen que el secuestro de cuentas sea especialmente sencillo en Instagram, como el asunto de la autenticación en dos pasos, la débil política de bloqueo y los escasos controles de seguridad de la firma. En todo caso, la multinacional asegura haber parcheado estas vulnerabilidades y mejorado su política de contraseñas. Pero algún bug o problema debe haber todavía para que ocurran situaciones como la de Pep.
Volviendo al caso que nos ocupa y durante su investigación, este usuario puso también de manifiesto que su situación no era única, ya que descubrió que un grupo árabe se dedicaba a robar cualquier cuenta de tres letras. Una información que iremos ampliando sobre la marcha en función de los datos y decisiones que vayan conociéndose al respecto.
En Genbeta | Un niño de 10 años “le saca” 10 mil euros a Instagram. ¿Qué pasa con los hackers menores de edad?
Ver todos los comentarios en https://www.genbeta.com
VER 2 Comentarios