Ciencia & Tecno

Tu cuenta de Instagram pudo haber estado en peligro debido a una grave falla en la plataforma

13/09/2019

Tu cuenta de Instagram pudo haber estado en peligro debido a una grave falla en la plataforma

Un grave error en Instagram expuso los datos de millones de cuentas. Según un informe publicado por Forbes, la persona que logró demostrar la vulnerabilidad, @ZHacker13, ya había denunciado el problema y Facebook no había logrado dar con una solución válida.

La vulnerabilidad le daría a un atacante la posibilidad de obtener el número de teléfono, el nombre real y el nombre de usuario de millones de cuentas en poco tiempo. Esto se daría gracias al poco filtro que tiene la herramienta de importación de contactos de Instagram. El método usado sería un “Ataque de Fuerza Bruta”, utilizando numerosos algoritmos para romper la seguridad de cualquier sistema. Esta no es la primera vez que sucede, pues en los últimos meses errores similares se han reportado.

¿Cómo funciona? El hacker usa un algoritmo para realizar un ataque de “Fuerza Bruta” en el inicio de sesión de Instagram. Ya que las cuentas pueden estar enlazadas a un número de teléfono, el atacante ingresa un número incompleto y el algoritmo se encarga de completarlo con todas las combinaciones posibles. Naturalmente, la plataforma lanzará un mensaje de “Este número es inválido” o no. Si no muestra un mensaje de error, es porque es un número registrado.

De esta forma, una sola versión del algoritmo puede recolectar 1.000 números reales por día. Esto, con solo hacer 15.000 solicitudes. Por supuesto, un atacante usará más de un algoritmo al tiempo. Es decir, la cantidad de números que se pueden obtener se multiplica de forma inimaginable.

Por otro lado, el hacker puede averiguar los nombres de cuenta enlazados a cada uno de esos números de teléfono. Esto lo hace al aprovecharse de la herramienta de sincronización de contactos. Todo lo que tiene que hacer un robot es agregar todos los números, crearse una cuenta en la plataforma, y esta le preguntará si quiere usarlos para encontrar conocidos. Con esto sería capaz de hacer una base de datos de usuarios potencialmente atacables.

Instagram tiene un límite de sincronización de contactos de 3 veces al día por cuenta. Sin embargo, esto no es un problema, pues más de 40 robots con respectivas cuentas pueden funcionar en una sola máquina. Según el hacker, con solo 40 cuentas puede conseguir los detalles de 143 cuentas de la red social y se obtienen más de 840 números de teléfono a la semana.

Cuando ZHacker13 informó a Facebook hace un mes, la empresa le respondió que ya era consciente del problema y que no tendría recompensa alguna. Sin embargo, las cosas siguieron igual con el pasar de las semanas, por lo que el experto siguió insistiendo. Además, señaló frustrado la “poca urgencia por reparar el error”. Finalmente después de solucionar el tema, Facebook señaló que si iba a haber una recompensa para el hacker.