Itongadol/Agencia AJN.- La empresa israelí de seguridad cibernética Check Point informó el jueves que fue capaz de localizar una importante brecha de seguridad en la red social Instagram que permite a un tercero asumir el control del teléfono personal del usuario. Tratándose de una aplicación muy popular, con aproximadamente mil millones de usuarios mensuales, el posible daño que la brecha de seguridad conocida como #InstaHack, y que la firma israelí estaría evitando, es enorme.
Check Point dio a conocer la noticia después de informar a la compañía para darle tiempo a arreglarlo, según reveló un comunicado de prensa en nombre de la compañía.
¿Cómo fue posible el hack? Un tercero podría haber enviado a la víctima un archivo de imagen que, al abrirse en un correo electrónico o por WhatsApp, asumiría el control por teléfono a través de la aplicación Instagram. Esto le habría dado al hacker el control de la cuenta de la víctima. Muchas personas utilizan sus teléfonos inteligentes para controlar su presencia en las redes sociales, por lo que el hacker también podría obtener el control sobre la ubicación, las grabaciones, la cámara y la lista de contactos del teléfono.
Las consecuencias de una falla como ésta podrían ser terribles. Si un hacker accede a datos de menores de edad o de políticos influyentes, el daño causado por la aplicación sería de tal magnitud que podría resultar irreparable.
Otro riesgo era el posible acceso de un hacker a los medios de pago o a datos financieros del usuario.
Instagram presenta más riesgos que lo normal porque, a diferencia de otras aplicaciones promedio, tiene amplios permisos. Mientras que una aplicación para citas podría tener acceso sólo a su cámara y una aplicación de mapas sólo a su ubicación, Instagram tiene acceso a todo. Por lo tanto, hackearla pondría en riesgo más datos personales que infiltraciones a través de otras aplicaciones.
Lo que Check Point encontró es que a través de Remote Control Execution (RCE) es posible convertir a Instagram en un camino que convierte al teléfono en una herramienta de espionaje.
¿Por qué fue posible el hackeo? Porque Instagram usaba una biblioteca de código abierto llamada Mozjpeg para procesar algunos de sus archivos. Esto no es inusual: la mayoría de los desarrolladores usan esas bibliotecas para manejar la función de la aplicación que están creando. En este caso, Mozjpeg fue usado para abrir archivos JPEG.
¿Qué podría hacer un hacker en una situación así? Cualquier cosa que el dueño de la cuenta pueda hacer, desde publicar fotos hasta pretender ser el usuario en la comunicación electrónica.
La brecha de seguridad fue arreglada entre el momento de su descubrimiento y el momento de publicado este artículo. Sin embargo, Check Point anima a los usuarios de aplicaciones a descargar la última versión de Instagram para asegurarse de que están protegidos.
La firma tecnológica israelí ofrece un servicio llamado SandBlast Mobile (SBM) que puede proporcionar a los usuarios una divulgación completa de todos los riesgos a los que están expuestos sus teléfonos.
“Hemos arreglado el problema”, dijo el gigante de los medios sociales en respuesta al informe de la compañía israelí, “y no tenemos ninguna razón para creer que alguien fue perjudicado por esto”.