Las redes sociales son usadas diariamente por millones de personas. Y a veces un fallo del sistema puede poner en riesgo las cuentas y la privacidad de sus usuarios. Es lo que ha sucedido con una vulnerabilidad en Instagram encontrada por los investigadores de Check Point Research, la división de Inteligencia de Amenazas de Check Point Software Technologies. Este fallo de seguridad permitía al atacante poder tomar el control de la cuenta de Instagram de una víctima y realizar acciones sin su consentimiento. Por ejemplo, podría leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta. Incluso, se podría llegar a bloquear el acceso a la cuenta a la víctima, lo que podría derivar en suplantación de la identidad o pérdida de datos.
Y todo ello teniendo en cuenta que esta red social también pide amplios permisos de acceso a otras funciones de los smartphones. De esta, esa vulnerabilidad en Instagram permitiría a un cibercriminal convertir el dispositivo en un medio para espiar a la víctima. No en vano, podría acceder a los contactos, los datos de localización, la cámara y los archivos almacenados en el teléfono.
Cómo funciona esta vulnerabilidad en Instagram
Los expertos de Check Point han detectado el fallo de seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario. Desde la compañía advierten de los peligros de este tipo de aplicaciones, ya que suelen utilizar software de terceros para llevar a cabo tareas comunes. Sin embargo, el principal riesgo reside en que el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad en la aplicación.
En el caso de la vulnerabilidad detectada por Check Point en Instagram, para conseguir su objetivo, el atacante solo necesitaría una única imagen maliciosa. El ataque se produce en tres pasos:
- Los cibercriminales envían una imagen infectada a la víctima a través de correo electrónico mediante phishing, WhatsApp o a cualquier otra plataforma similar.
- La imagen se guarda en el teléfono móvil del usuario de forma automática o manual dependiendo del método de envío, el tipo de teléfono móvil y la configuración.
- La víctima abre la aplicación de Instagram, y automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad en la aplicación, dando al atacante acceso total al teléfono.
Cómo protegerse
Los investigadores de Check Point revelaron los hallazgos de su investigación a Facebook, propietaria de Instagram, que rápidamente actuó para solventarlo. De hecho, han informado de que este fallo ya ha sido subsanado. Para ello, se lanzó un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas. No obstante, los expertos de Check Point recomiendan poner en práctica estas medidas:
- Actualizar regularmente las aplicaciones móviles y los sistemas operativos.
- Prestar más atención a las aplicaciones que piden permisos.
- Permitir acceso sin pensarlo dos veces, porque si no es algo necesario para el funcionamiento de la aplicación, lo mejor es no autorizar el acceso.
Archivado en:
