Nuevos defectos se detectan a diario en aplicaciones informáticas y páginas web, y estos son aprovechados por los cyber-delincuentes para poder engañar a despistados usuarios que no protegen suficientemente sus sistemas.

En esta ocasión le ha tocado a la red social de fotografías Instagram, adquirida en 2012 por la corporación dirigida por Mark Zuckenberg, Facebook, y desde entonces sus usuarios han ido creciendo de forma exponencial.

Pero el fallo, o como algunos lo denominan despiste, viene de la mano de las aplicaciones para los smarphones principalmente, tanto en Android como en IOs, incluso se ha podido reproducir en un terminal con MacOS X. Descubierto por el programador londinense Stevie Graham que explica que se trata de un error de programación que permite realizar transacciones entre los terminales y los servidores mediante las conexiones HTTP estandar, sin usar ningún tipo de cifrado y por lo tanto las transacciones pueden ser capturadas.

Detectaron el fallo utilizando WireShark, un software de monitoreo de comunicaciones muy usado entre administradores de redes y permitió realizar la captura y modificación de los datos enviados entre un smartphone y los servidores de Instagram

El alcance es tal que si realizamos comunicaciones mediante una red wifi no segura, cualquier hacker podría rastrear y capturar los paquetes que se envian mediante un software específico como el descrito, entre estos paquetes podrían estar la claves de autenticación que permitirían suplantar al usuario original al disponer de sus claves de acceso, pero tambien podrían capturar las imágenes que se envían a la red social y sustituirlas por otras e incluso realizar modificaciones el las ya enviadas.

Inmediatamente se puso en conocimiento de los responsables de seguridad de la plataforma y tras decirle que no accedería a ningún tipo de recompensa por el descubrimiento del bug y viendo que dejaban la anomalía pendiente de que cualquiera pudiera aprovecharla, se puso manos a la obra para desarrollar una aplicación que explotara el error y por ello se ha creado la aplicación Instasheep, que permite hackear las cuentas de usuario y las imágenes transmitidas con Instagram, como toque de atención a la espera de que por fin solucionen el error.

La aplicación puede ser descargada desde la cuenta del GitHub del desarrollador, esperando que no sea utilizada con fines fraudulentos (no aprovecha todas las posibilidades) y así los responsablen actualicen por fin la aplicación solucionando el error.

Como recomendación, desde Técnicos Web les aconsejamos que hasta que sea lanzada la esperada actualización, no utilicen la aplicación en redes WiFi inseguras, dado que es el modo en el que pùede ser aprovechada la vulnerabilidad y usen la red propia de telefonía de sus terminales aunque en vista de los incipientes ataques y hackeos que vienen sufriendo desde el pasado, que bien podría venir dado por éste error descubierto, puede que sea recomendable no tentar a la suerte y usarlo sólo desde nuestros ordenadores personales conectados por la red cableada directamente a nuestros routers.

¿Tienes cuenta de Instagram? ¿Has sido alguno de los que han sufrido ataques en el pasado? ¿Conoces a alguien que lo haya sufrido? Haz correr la voz con la esperanza de que solucionen el error por demanda popular.