El hacker sólo necesitaría una única imagen maliciosa para tomar control de la cuenta

Instagram: una vulnerabilidad permite espiar a millones de usuarios de todo el mundo

Aconsejan dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda. La empresa ya lanzó un parche para las actualizaciones futuras.

Se podría incluso llegar a bloquear el acceso a la cuenta de la víctima

Científicos alertaron por una falla de seguridad crítica en el tratamiento de imágenes de Instagram, una de las redes sociales más populares con casi mil millones de usuarios en todo el mundo y más de cien millones de fotos compartidas cada día. Esta vulnerabilidad permite tomar el control de una cuenta de esta red social utilizando una sola imagen y acceder a la ubicación GPS, los contactos y la cámara del teléfono de la víctima.

Según una investigación de Check Point Research, este agujero del programa permite al atacante ingresar a la cuenta de Instagram de un usuario y realizar acciones sin su consentimiento, tales como leer conversaciones, eliminar o publicar fotos a voluntad y manipular la información del perfil de la cuenta.

Facebook, propietaria de Instagram, ya lanzó un parche de seguridad para las nuevas versiones de la aplicación, por lo que se recomienda descargar las actualizaciones futuras.

Dónde está la falla

Puntualmente, los investigadores señalan que detectaron el error en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al perfil del usuario.

Y advierten que el ciberatacante sólo necesitaría una única imagen maliciosa para conseguir su objetivo. El ataque podría producirse mediante el envío de una imagen infectada a la víctima a través de correo electrónico o de un servicio de mensajería como WhatsApp.

La imagen queda guardada en el teléfono móvil y una vez el usuario abre la 'app' de Instagram, automáticamente se activa la carga maliciosa que desencadena la falla de seguridad, lo que daría al atacante acceso total al teléfono.

De esta forma, y como apuntan desde la compañía, se podría incluso llegar a bloquear el acceso a la cuenta a la víctima, lo que podría derivar en problemas como la suplantación de la identidad o pérdida de datos.

Recomendaciones y consejos

Desde la compañía advierten que este tipo de aplicaciones suelen utilizar 'software' de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red.

Sin embargo, el principal riesgo reside en que el código de terceros suele contener vulnerabilidades que podrían provocar fallas en la aplicación en la que están implementados.

En este sentido, la compañía de ciberseguridad recomienda a los desarrolladores que examinen la biblioteca de códigos de terceros y se aseguren de que su integración se realiza correctamente.

"El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil pasar por alto las graves amenazas que contiene", indica Yaniv Balmas, jefe de Investigación de Check Point.

Por eso, aconsejan dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda. "El típico mensaje que aparece para conceder permisos a una 'app' puede parecer una molestia, pero en la práctica esta es una de las líneas de defensa más fuertes contra los ciberataques móviles", añade Balmas.