Aunque en un principio se creía que este ataque solo había apuntado a cuentas de celebridades, finalmente se develó que también impactó en las cuentas de otros usuarios.
El 30 de agosto, Instagram había asegurado a los usuarios no famosos que sus cuentas no estaban en peligro porque las filtraciones solo apuntaban a celebridades. Pero los atacantes crearon una base de datos llamada Doxagram que fue publicada en la Dark Web (conjunto de sitios web y bases de datos que forman parte de Internet, pero que escapan a la indexación de los motores de búsqueda y se consideran de difícil acceso) con la información de los usuarios afectados, la cual podía ser comprada por 10 dólares.
Para obtener la información los atacantes explotaron un bug (una vulnerabilidad que puede encontrarse en la codificación de un software y altera su comportamiento deseado) en una de las API (interfaz de programación de aplicaciones) de la aplicación, lo cual les dio acceso a números de teléfono y direcciones de correo electrónico de usuarios registrados.
El proceso de ataque es relativamente simple: usando la aplicación obsoleta, el atacante selecciona la opción de restauración de contraseña y captura la solicitud mediante un proxy web. Entonces seleccionan a una víctima y envían una solicitud al servidor de Instagram cargando el identificador o el nombre de usuario exclusivo del objetivo. El servidor devuelve una respuesta en formato JSON con la información personal de la víctima, incluyendo datos confidenciales, como el correo electrónico y el número de teléfono.
Esta noticia motivó al CTO de Instagram, Mike Krieger, a publicar una declaración confirmando la escala de la brecha: “Nos preocupa profundamente la seguridad de la comunidad Instagram, así que queremos hacerte saber que recientemente descubrimos un bug en Instagram que podría utilizarse para acceder a la dirección de correo electrónico y al número de teléfono de algunas personas, aunque no fueran públicos”.
Originalmente desde Instagram afirmaron que solo un “bajo porcentaje” de cuentas se habían visto afectadas, pero los atacantes rápidamente refutaron esta afirmación forzando a la empresa propiedad de Facebook a aconsejar a los usuarios cambiar sus contraseñas y así protegerse de tal ataque.
Esta no es la primera vez que Instagram está en las noticias por problemas de seguridad; la última vez fue utilizada por los ciberdelincuentes para esconder direcciones de C&C en comentarios, aunque en ese caso no hubo ataque y no se vieron impactados millones de usuarios.
«Es muy importante que los usuarios de redes sociales usen todos los recursos de seguridad ofrecidos por las plataformas en su beneficio, a fin de que no resulte fácil realizar ataques como este. Las funciones como la doble autenticación, las alertas de inicio de sesión desconocidas, el uso de contraseñas únicas, y mantener las aplicaciones de redes sociales siempre actualizadas son buenas prácticas y recomendaciones para todos «, afirma Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina.
“Desde ESET Latinoamérica se recomienda a todos los registrado en Instagram, cambiar la contraseña de inmediato por una fuerte y robusta, y activar la doble autenticación para proteger el acceso a las cuentas. Es importante ser conscientes de las configuraciones de seguridad para proteger la información personal y mantenerse a salvo de filtraciones de datos”,mencionó Camilo Gutiérrez, jefe del Laboratorio de ESET Latinoamérica.
Kaspersky Lab aconseja que los usuarios que estén utilizando versiones antiguas del software las actualicen inmediatamente a la última versión disponible. Otros consejos útiles para mantenerse seguros en redes sociales incluyen el uso de direcciones de correo electrónico diferentes para distintas plataformas sociales, reporten cualquier inquietud o irregularidad que observen en la red social. Y, sobre todo: si reciben correos electrónicos sobre una restauración de contraseña que no ha iniciado, alerte de inmediato a la red social.
El impacto de una brecha o fuga de datos puede tener distintas caras. ESET Latinoamérica comparte un video para saber por qué es importante evitarlas: https://www.welivesecurity.com/la-es/videos/consecuencias- de-
una-fuga- de-datos/
