Según el estudio de Check Point Software Technologies, proveedor especializado en ciberseguridad, este fallo permite al atacante tomar el control de una cuenta y realizar acciones sin el consentimiento de su titular. | Foto: Crédito: Associated Press/Jenny Kane

CIBERSEGURIDAD

Descubren vulnerabilidad en Instagram que permite espiar a millones de usuarios

La red social Instagram presenta un fallo que permite tomar el control de una cuenta y acceder a su ubicación GPS, contactos y cámara, según investigadores de Check Point Software Technologies.

28 de septiembre de 2020

Investigadores de Check Point Research, la división de inteligencia de amenazas de Check Point Software Technologies, detectó una vulnerabilidad crítica en Instagram, una de las redes sociales más populares del mundo con casi 1.000 millones de usuarios.

Se trata de un fallo en el tratamiento de imágenes que permite tomar el control de una cuenta utilizando una sola imagen para acceder a la ubicación GPS, contactos y cámara del teléfono de la víctima. De hecho, se estima que en Instagram se comparten más de 100 millones de fotos cada día. 

Según el estudio de Check Point Software Technologies, proveedor especializado en ciberseguridad, este fallo permite al atacante tomar el control de una cuenta y realizar acciones sin el consentimiento de su titular.

Lea también: Se filtra información sobre colores y nuevas características del iPhone 12

Por ejemplo, el atacante podría leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta, lo que podría derivar en la suplantación de la identidad o pérdida de datos.

Además, dado que Instagram solicita amplios permisos de acceso a otras funciones de los teléfonos, este tipo de vulnerabilidades también le permiten a un cibercriminal acceder a los contactos, datos de localización, cámara y archivos almacenados en el teléfono.

¿Cómo funciona el fallo? 

Los investigadores del estudio indicaron que detectaron el fallo de seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario.

Este tipo de aplicaciones suelen utilizar software de terceros para llevar a cabo tareas como el procesamiento de imágenes, pero el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad.

Le puede interesar: Discord, la aplicación alternativa a WhatsApp que gana fuerza en el mundo

En el caso de la vulnerabilidad detectada por Check Point en Instagram, los expertos señalan que para conseguir su objetivo el atacante solo necesitaría una única imagen maliciosa y el ataque se produciría a través de los siguientes pasos: 

  1. El cibercriminal envía una imagen infectada a la víctima a través de correo electrónico, WhatsApp o a cualquier otra plataforma similar. 
  1. La imagen se guarda en el teléfono móvil del usuario de forma automática o manual dependiendo del método de envío, el tipo de teléfono móvil y la configuración. Una imagen enviada a través de WhatsApp, por ejemplo, se guarda en el teléfono automáticamente de forma predeterminada.
  1. La víctima abre la aplicación de Instagram y automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad en la aplicación, dando al atacante acceso total al teléfono.

"[…] Las bibliotecas de códigos de terceros pueden ser una seria amenaza, y por ello recomendamos a los desarrolladores de aplicaciones de software que las examinen y se aseguren de que su integración se realiza correctamente”, concluyó la jefe de investigación de Check Point, Yaniv Balmas. 

¿Cómo protegerse?

Los investigadores revelaron los hallazgos de su investigación a Facebook, propietaria de Instagram, que informó que el fallo ya ha sido subsanado a través de un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas.

No obstante, los expertos de Check Point ofrecen los siguientes consejos de ciberseguridad para estar protegidos frente a estos fallos:

  1. Actualizar el software: es imprescindible actualizar regularmente las aplicaciones móviles y los sistemas operativos. Docenas de parches de seguridad se envían en estas actualizaciones semanalmente y, de no instalarlos, podría tener un impacto severo en la privacidad del usuario.
  2. Supervisar los permisos: prestar más atención a las aplicaciones que piden permisos. Es muy cómodo para los desarrolladores de aplicaciones pedir a los usuarios permisos excesivos.
  3. Permitir acceso sin pensarlo dos veces: es importante pensar unos segundos antes de aprobar algo. Si no es algo necesario para el funcionamiento de la aplicación, lo mejor es no autorizar el acceso.