Una vulnerabilidad de Instagram permite a los atacantes introducirse en las cuentas

0

Mediante un ataque, sin conocer la contraseña del usuario, es posible acceder a una cuenta, mediante la cookie de sesión. Acceder al perfil, fotografías, publicar, modificar los datos… todo lo que pueda hacer el dueño legítimo del perfil.

Esto es lo que ha explicado Jesús González, experto en ciberseguridad y ataques de Stackover Flow y colaborador de Mundo Hacker, con motivo de la presentación de Mundo Hacker Day 2015. Allí ha realizado una demostración práctica de cómo se puede hackear un perfil de Instagram en tan solo unos minutos. El fallo no está en la web, sino en la aplicación que se instala en los dispositivos móviles. Las credenciales están seguras, pero las cookies de sesión no viajan cifradas, por lo que pueden ser capturadas.

“Si eres capaz de capturar la cookie de sesión e inyectarla, es igual a si hubieses introducido tu usuario y contraseña”, añade Antonio Ramos, presentador de Mundo Hacker.

Esta vulnerabilidad antes estaba en Facebook, pero la compañía lo ha solucionado. Sin embargo, en Instagram todavía está presente esta brecha de seguridad.instagram hacker

Para poder realizar este ataque, es necesario que la víctima se conecte a una red wifi abierta que crea el atacante. En la demostración, Jesús crea un punto wifi falso, con el objetivo de que las víctimas se conecten a ella y poder lanzarles ataques, en este caso, robarle la cookie de sesión de Instagram para poder acceder a su perfil.

Este ataque además se aprovecha de una vulnerabilidad que tienen los smartphones, y es que por defecto, tienden a conectarse a las redes wifi abiertas.

Ciberataques para dummies

Para realizar el ataque ha utilizado WiFi Pinneaple, una herramienta que permite automatizar muchos tipos de ataques “hoy en día hay mucha información y muchas herramientas permiten a personas con pocos conocimientos de informática hacer cosas con repercusión bastante grave“, como nos explica Jesús. Este aparato en concreto se puede conseguir en Internet por unos 100 dólares. Pero este ataque es sólo un ejemplo de lo que se podría llegar a hacer con este tipo de tecnología.

“Podría llevar mi portátil y esta tecnología en una mochila, y pasearme por las calles de la ciudad capturando todo tipo de datos de las personas que se conecten a mi wifi falsa”.

En el vídeo se puede ver la demostración práctica del ataque que ha realizado Jesús González.

¿Cómo evitar que accedan a nuestro perfil?

Consejo fundamental: ten cuidado al conectarte a redes wifi abiertas sin contraseña y desconocidas. Si lo haces, no accedas a servicios con contraseña ni introduzcas datos bancarios.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker.
@monivalle

Deja un comentario