Tu cuenta de Instagram ha podido ser hackeada por cambiar de contraseña

Tu cuenta de Instagram ha podido ser hackeada por cambiar de contraseña

Un experto en informática detectó una vulnerabilidad en la red social que permitía acceder al perfil de un tercero mediante el uso de diferentes direcciones IP.

Si en algún momento ha tenido que cambiar su contraseña de Instagram, posiblemente no sepa que durante diez minutos su perfil se ha encontrado expuesto al ataque de un hacker. Y es que, como ha demostrado el experto en ciberseguridad Lamax Muthiya, la red social contaba hasta hace poco con una vulnerabilidad que permitía a un tercero acceder a las cuentas mediante un proceso bastante sencillo.

Mutiyah descubrió que cuando una persona solicita una nueva contraseña a Instagram, la cuenta queda prácticamente desprotegida durante diez minutos. Precisamente, el tiempo de validez que tiene el mensaje de texto que la red social envía al teléfono móvil del usuario. En dicho mensaje aparecen recogidas seis cifras que son necesarias para verificar que aquel que ha solicitado una nueva contraseña es, efectivamente, el dueño de la cuenta.

El experto, interesado en descubrir si, efectivamente, existía una vulnerabilidad, decidió realizar un «ataque de fuerza bruta» durante los diez minutos de validez del SMS. «Realizar un ataque de fuerza mayor es algo muy sencillo. Si una contraseña está basada en un código numérico solo tienes que hacer todas las combinaciones posibles para acabar dando con la correcta y, de este modo, acceder a la red social», explica a ABC Eusebio Nieva, Director Técnico de Check Point para España y Portugal

Para llevar a cabo este ataque, Mutiyah decidió emplear diferentes servidores en la nube que le permitiesen utilizar las IP necesarias para realizar las 200.000 combinaciones numéricas impresicinbles para acceder a la cuenta. Y es que, en caso de emplear una única dirección, la cuenta se quedaría bloqueada tras realizar unos cuantos intentos.

«En todos los ataques de este tipo desde hace años se da un número de reintentos para escribir la contraseña. Si no se acierta el código en ninguno, el sistema se bloquea total o temporalmente. El problema con Instagram residía en que contabilizaba como intento de averiguación solo aquellos que venían de una misma dirección IP», dice Nieva.

De este modo, Mutiyah empleó hasta 5.000 direcciones IP diferentes para que el ataque terminase resultando un éxito. Un proceso que, como manifiesta el director de Chek Point, es bastante sencillo y está al alcance de cualquiera que tenga unos mínimos conocimientos informáticos. A pesar de que Mutiyah empleó servidores en la nube, existen otras formas de conseguir violar una cuenta con esta vulnerabilidad, como mediante el empleo de una red de botnet, que suele usarse por los hackers para enviar mensajes de «spam» de forma masiva.

En lugar de aprovecharse de su descubrimiento, Mutiyah optó por informar a Facebook (empresa propietaria de Instagram) acerca de la existencia de esta vulnerabilidad. La compañía ha tomado ya cartas en el asunto y ha reparado el error. Al mismo tiempo, ha decidido premiar al experto con un pago de 30.000 dólares.

El artículo completo lo encontrará en: ABC.es

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *