El año pasado vimos que un grave hackeo puso en problemas a Facebook y las contraseñas de al menos 50 millones de cuentas. Recientemente la compañía se salvó de volver a a sufrir un escándalo de estas proporciones. Sin embargo, en esta ocasión el problema se habría dado desde Instagram.
PUBLICIDAD
Un investigador en seguridad llamado Laxman Muthiyah fue quien encontró la vulnerabilidad. Al enterarse de que Facebook había aumentado las recompensas de su programa Bug Bounty, el experto decidió investigar. Fue así que encontró el error que reportó a la compañía, lo que le aseguró 30.000 dólares.
El problema no era poca cosa. Según Muthiyah, él (o cualquier otro) podría haber entrado fácilmente en cualquier cuenta de Instagram que deseara. Afortunadamente el hallazgo estuvo en sus manos y hoy tu cuenta está un poco más segura (por ahora).
¿Cómo lo lograba?
Muthiyah explicó los detalles de cómo podía vulnerar cualquier cuenta. Lo que hizo fue centrarse en el proceso de recuperación de contraseña de la versión móvil de Instagram. Cuando alguien olvida su clave, puede solicitarle a la plataforma que le envíe una nueva. Antes de eso, la red social enviará un código de verificación de seis dígitos por SMS para verificar identidad. A los 10 minutos este expira.
Pero ese tiempo era más que suficiente para entrar literalmente a la fuerza a una cuenta. Así, el experto decidió utilizar un llamado «ataque de fuerza bruta» ingresando una gran cantidad de combinaciones numéricas. Obviamente la plataforma se bloquea después de una serie de intentos. Por eso, decidió acudir a la ayuda de varias direcciones IP.
Para entrar a la cuenta se necesitaba probar con 200.000 combinaciones posibles de números. En ese sentido se requiere de al menos 5.000 direcciones IP trabajando al tiempo para completar la tarea. Esto se logra fácilmente mediante un proveedor de servicios en la nube como Amazon o Google. Finalmente, el ataque sería posible con solo una inversión de 150 dólares.