Investigadores de la empresa de seguridad informática Check Point detectaron una vulnerabilidad crítica en Instagram, una de las redes sociales más populares con casi mil millones de usuarios en todo el mundo y más de cien millones de fotos compartidas cada día. Este fallo de seguridad permitiría a un atacante tomar el control de la cuenta de Instagram de un usuario y realizar acciones sin su consentimiento, tales como leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta, como informan en un comunicado.
En concreto, los investigadores de Check Point señalan que detectaron el fallo de seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario. Y advierten que el ciberatacante sólo necesitaría una única imagen maliciosa para conseguir su objetivo.
El ataque se produciría mediante el envío de una imagen infectada a la víctima a través de correo electrónico o de un servicio de mensajería como WhatsApp. La imagen queda guardada en el teléfono y una vez el usuario abre la app de Instagram, automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad, lo cual le daría al atacante acceso total al teléfono. De esta forma, y como apuntan desde la compañía, se podría incluso llegar a bloquear el acceso a la cuenta a la víctima, lo que podría derivar en problemas como la suplantación de la identidad o pérdida de datos.
En este sentido Instagram aclaró que la falla se solucionó y que nadie fue afectado por ese inconveniente. “El informe de Check Point exagera un error, que corregimos rápidamente y no tenemos motivos para creer que afectó a nadie. Mediante su propia investigación, Check Point no pudo explotar este error”, dijo un vocero de Facebook Company a Infobae.
Recomendaciones
Instagram aclaró que corrigió el fallo de seguridad. Como usuarios, entonces, lo que hay que hacer es actualizar la versión de Instagram. Usualmente éste es un proceso automático pero también se puede revisar si hay actualizaciones pendientes ingresando a la tienda de la aplicación correspondiente (Apple Store o Google Play, según se tenga iPhone o teléfono con Android), buscar la app en cuestión, que en este caso en Instagram y si aparece el botón “actualizar” presionarlo. En caso que no aparezca “actualizar” sino “abrir”, entonces quiere decir que ya se cuenta con la última versión disponible de la plataforma.
Para los desarrolladores
Por otra parte, desde la compañía de seguridad advierten que este tipo de aplicaciones suelen utilizar software de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red. Sin embargo, el principal riesgo reside en que el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad en la aplicación en la que están implementados.
En este sentido, la compañía de ciberseguridad recomienda a los desarrolladores que examinen las biblioteca de códigos de terceros y se aseguren de que su integración se realiza correctamente. “El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil pasar por alto las graves amenazas que contiene”, indica Yaniv Balmas, jefe de Investigación de Check Point.
Además, los investigadores señalan que la aplicación de Instagram también pide amplios permisos de acceso a otras funciones de los smartphones, por lo que esta vulnerabilidad permitiría a un cibercriminal convertir el dispositivo en un medio para espiar a la víctima, ya que podría acceder a los contactos, datos de localización, la cámara y los archivos almacenados en el teléfono. Por ello, aconsejan dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda.
Los investigadores de Check Point compartieron los hallazgos de su investigación con Facebook, propietaria de Instagram. Como ya se mencionó, el fallo ya ha sido subsanado y se lanzó un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas.