Un error de seguridad en Instagram permitía acceder a cualquier cuenta en 10 minutos [FOTOS]
Instagram ha pagado 30 mil dólares al hombre que descubrió esta vulnerabilidad en la red social.
- ¿Posees un Smart TV de Samsung, LG o Sony? Así puedes ver más de 50 canales gratuitos
- ¿Qué es Rakuten TV y cómo instalarla en tu Smart TV para ver miles de películas y series gratis?
Facebook sigue presentado problemas de seguridad. Ahora, el blanco es Instagram. La aplicación tenía una vulnerabilidad que permitía a cualquier usuario acceder y tomar control sobre la cuenta de cualquier otro sin la necesidad de que hubiera ningún tipo de interacción con el usuario y en menos de 10 minutos.
Al parecer, un fallo en el mecanismo de recuperación de contraseñas de Instagram implementado en la versión móvil, permitía que cualquier persona solicite una nueva contraseña para cualquier cuenta de Instagram. Al hacerlo, podía tener acceso a la misma y dejar al mismo tiempo a su propietario sin acceso, ya que se había reseteado la clave, según denunció un investigador de software indio llamado Laxman Muthiyah.
Esta funcionalidad, pensada que para cuando un usuario ha olvidado su contraseña, obliga al usuario a confirmar un código secreto de seis dígitos que se envía al número de teléfono asociado a su cuenta o correo electrónico. El código enviado expira a los 10 minutos, pero cualquier ciberdelincuente podría necesitar menos tiempo para hacerse con el control de la cuenta. Si se prueban millones de combinaciones, sería fácil para cualquier programa informático acertar la combinación de seis dígitos.
Si bien Instagram limita el número de intentos, Laxman Muthiyah descubrió que esta característica no sirve ante un ataque de fuerza bruta desde múltiples direcciones IP que envíen peticiones simultáneas sin limitarse. El investigador probó a acceder a cuentas ajenas enviando de esta manera a Instagram 200.000 combinaciones diferentes de contraseñas en 10 minutos.
Al realizar los envíos rotando más de 5.000 direcciones IP distintas, Muthiyah logró no ser bloqueado. Es más, obtuvo acceso a una de cada cinco cuentas que había intentado hackear, dado que había enviado un 20% de combinaciones posibles.
Según el investigador, aunque pueda parecer algo complicado, emplear 5.000 direcciones IP es algo sencillo, que se puede realizar fácilmente si se cuenta con un proveedor de servicios en la nube como Amazon o Google. Instagram ya solucionó este problema y ya no es posible acceder de forma ilícita a las cuentas.
Los artículos firmados por La República son redactados por nuestro equipo de periodistas. Estas publicaciones son revisadas por nuestros editores para asegurar que cada contenido cumpla con nuestra línea editorial y sea relevante para nuestras audiencias.
