Tecnología

Vulnerabilidad en Instagram permitía secuestrar cuentas

La compañía ESET analiza el fallo, ya parcheado, que explotaba un error en el mecanismo de recuperación de contraseñas en la versión móvil y permitía a un atacante secuestrar cuentas sin necesidad de interacción por parte de la víctima.

Comparte

Publicado 17 de Julio

Te contamos que ESET, compañía especializada en detección proactiva de amenazas, analiza el hallazgo de una vulnerabilidad en Instagram, que hubiese permitido a un atacante secuestrar de manera remota cualquier cuenta sin necesidad de interacción por parte de los propietarios de las mismas. El mismo ya fue reparado por la red social.

>LEE: Alertan sobre reaparición del malware Astaroth

El investigador de seguridad Laxman Muthiyah reportó el hallazgo luego de que Facebook aumentara los montos de las recompensas que paga como parte de su programa de bug bounty, tanto para el hallazgo de vulnerabilidades críticas como de secuestro de cuentas. Laxman decidió investigar en busca de algún fallo que pueda reportar y así fue que encontró esta vulnerabilidad que le significó una recompensa de US$ 30,000.

El fallo radicaba en el mecanismo de recuperación de contraseñas de la versión móvil de Instagram. El mismo permite a los usuarios recuperar el acceso a sus cuentas en caso de olvidar su clave. En este sentido, un usuario de Instagram que se olvide de su contraseña y decida resetearla deberá demostrar su identidad confirmando la recepción de un código de seis dígitos que le llegará a través de un mensaje SMS al número telefónico asociado. Este código, que expira pasados los 10 minutos, deberá ser ingresado por el usuario para poder cambiar su contraseña.

La vulnerabilidad ya fue parcheada. “Estos casos sirven como ejemplo para demostrar que incluso las grandes plataformas y servicios son vulnerables a posibles ataques y/o fallos de seguridad, por lo que es importante que no dejemos la seguridad librada al azar o en manos de los que proveen los servicios que utilizamos. Es importante que como usuarios hagamos nuestra parte para reforzar la seguridad, ya sea mediante el uso del doble factor de autenticación, utilizando contraseñas únicas por servicio o mediante otras acciones, de manera de disfrutar de Internet de manera segura”, mencionó Camilo Gutierrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.

>LEE: Ciberataques: vulnerabilidades de software se han vuelto la principal preocupación de empresas