Santa Fe
Jueves 24 de Mayo de 2018

Atención Instagramers: se pueden intervenir las cuentas sin que el usuario lo note

Se trata de una debilidad en el proceso de recuperación de cuentas de Instagram en iOS. La vulnerabilidad fue detectada por dos profesionales de la ciudad de Santa Fe e informada a la empresa. ¿Qué recaudos hay que tomar?

"Tu Instagram podría estar intervenido y no aparecerá ninguna alerta que te permita saberlo", dijo al comienzo de su columna en UNO en la Radio, Maximiliano Macedo, experto en seguridad informática perteneciente a la consultora Asegurarte.


Embed


Junto con su socio, Marcelo Temperini, descubrieron recientemente un problema de seguridad en la mencionada red social, que consiste en una debilidad en el proceso de recuperación de la cuenta de Instagram, cuando este es realizado desde la aplicación móvil del sistema operativo iOS (iPhone, iPad).


Según informó Macedo en el programa radial de UNO Santa Fe –que se emite de lunes a viernes de 16 a 18 por FM Sol 91.5–, el problema detectado consiste en que la utilización del token (factor de autenticación que permite tener una clave adicional para validar las operaciones cursadas por ese canal) enviado no fuerza el cambio de contraseña (como sí sucede si el usuario intenta recuperar la cuenta vía web o desde un dispositivo Android). Esto permite el ingreso de forma directa, desde cualquier dispositivo, sin generar alertas o cerrar las sesiones ya iniciadas.

Es decir que, solo accediendo a ese token de autenticación en el proceso de recuperación de la cuenta de Instagram –que llega vía mail o vía SMS–, una persona desconocida podría iniciar sesiones de forma directa desde cualquier dispositivo en la cuenta de Instagram de un usuario, y sin que le llegue a esa persona ningún tipo de aviso de seguridad sobre el inicio de sesiones en otros dispositivos.


Embed


"Tenemos dos problemas. El primero, es que alguien podría ingresar a nuestra cuenta y no nos vamos a enterar, y segundo, podemos acceder a una cuenta de Instagram sin la contraseña", explicó Macedo.


El impacto

El impacto de esta falla implica que en la actualidad, cualquier usuario de Instagram podría tener su cuenta "intervenida" o "pinchada", donde todas sus conversaciones privadas podrían estar siendo accedidas por terceros, sin que el legítimo titular de la cuenta pueda enterarse nunca. Ante un acceso indebido, en Instagram no existen notificaciones de seguridad que avisen al usuario sobre el acceso sospechoso o irregular, ni al correo electrónico ni en la propia aplicación.


Adicionalmente, la falta de registros de sesiones iniciadas en Instagram, implica que hoy no es posible para el usuario saber cuantas sesiones iniciadas existen, ni mucho menos desde que dispositivos o dirección IP se han iniciado, aspecto de seguridad que cualquier usuario sí podría saber en Facebook o WhatsApp (servicios del mismo grupo empresario).


Esta falta de registros de seguridad, implica como consecuencia que tampoco es posible que el legítimo usuario opte por cerrar todas sesiones abiertas en la propia cuenta, haciendo que la única opción para asegurarse de que nadie más se encuentra dentro de nuestra cuenta, sea forzando el cambio de contraseña (que cierra todas las sesiones).​


¿Qué deben hacer los usuarios?

El primer consejo que dejó Macedo en UNO en la Radio fue el cambio de contraseña. Se trata de la única forma que tiene actualmente un usuario de Instagram para asegurarse que ningún extraño que haya accedido de forma ilegítima se encuentre dentro de su cuenta. Esto hace caducar todas las sesiones previamente iniciadas, cerrando de forma instantánea todas las sesiones.


La otra acción a realizar por parte de los usuarios es habilitar el doble factor de autenticación en la cuenta de Instagram. De esta forma cada vez que alguien quiera ingresar a la cuenta, además de la contraseña (o el token como en el caso mencionado) también se le solicitará el código de 6 dígitos que llega por SMS al número de celular asociado a la cuenta.


Se recomienda también deshabilitar la previsualización de los SMS en las notificaciones y colocar contraseña a los dispositivos móviles.


Se puede consultar más información técnica sobre el problema en el siguiente artículo: Debilidad en el proceso de recuperación de cuentas de Instagram en iOS