Si por casualidad, hace poco cambiaste la contraseña de tu perfil de Instagram, posiblemente, estuvo expuesta durante diez minutos al ataque de un hacker. Según el experto de ciberseguridad Lamax Muthiya, la red social contaba hasta hace poco con una vulnerabilidad que permitía a otra persona a acceder a las cuentas mediante un proceso muy sencillo.
CIBERSEGURIDAD
Este experto de ciberseguridad descubrió que cuando una persona solicita una nueva contraseña de Instagram, su perfil queda bastante desprotegida durante diez minutos. Casualmente el tiempo de validez que tiene el mensaje de texto que la propia red social envía al teléfono móvil del usuario. En el mensaje se recogen seis cifras que son necesarias para verificar que aquel que ha solicitado una nueva contraseña es el dueño de la cuenta.
Mutiyah estaba interesado en descubrir si existía una vulnerabilidad, decidió realizar un ¨ataque de fuerza bruta¨ a lo largo del tiempo de validez del mensaje. ¨Realizar un ataque de fuerza mayor es algo muy sencillo. Si una contraseña está basada en un código numérico solo tienes que hacer todas las combinaciones posibles para acabar dando con la correcta, así acceder a la red social¨, explica.
Para realizar este ataque, Mutiyah decidió emplear diferentes servidores en la nube que le permitiesen utilizar las IP necesarias para realizar las 200000 combinaciones numéricas imprescindibles para acceder a la cuenta. Y es que, en caso de emplear una única dirección, la cuenta quedaría bloqueada tras realizar unos cuantos intentos.
Se supone que, en los ataques similares a este, si no se acierta el código, el sistema se bloquea total o temporalmente. Sin embargo, el problema de Instagram reside en que contabiliza como error a aquellos que venían de una misma dirección IP.
Mutiyah empleó hasta 5000 direcciones IP diferentes para que el ataque terminase resultando un éxito. Proceso que, es bastante sencillo y que está al alcance de cualquier persona que tenga unos mínimos conocimientos informáticos. A pesar de que Mutiyah empleó servidores en la nube, existen otras formas de conseguir violar una cuenta con esta vulnerabilidad, como mediante el empleo de una red botnet, que suele usarse por los hackers para enviar mensajes ¨spam¨ de forma masiva.
En vez de aprovecharse de lo que había descubierto, Mutiyah optó por informar a Facebook, empresa propietaria de Instagram, acerca de la existencia de este defecto. La compañía ha decidido actuar y en consecuencia, ha decidido premiar al experto con un pago de 30000 dólares.