Tu cuenta de Instagram podría ser hackeada en menos de 10 minutos

Un investigador de ciberseguridad acaba de recibir un suculento premio tras haber comunicado a los responsables de la popular red social de fotografía (Instagram) una vulnerabilidad que podría haber permitido a los atacantes hackear cuentas en muy poco tiempo.

El investigador de origen indio, Laxman Muthiyah, decidió echar un ojo a los mecanismos de seguridad vigentes en Instagram, tras los recientes aumentos de recompensas en otros competidores  como Facebook o la propia Instagram

Las cuentas de usuario de Instagram eran hackeadas en 10 minutos

Tal como describe en su propio blog, Muthiyah explica que existía una vulnerabilidad en la forma en que la red social maneja los restablecimientos de contraseña, que los usuarios solicitan cuando no recuerdan las credenciales.

Por defecto, cuando un usuario solicita el restablecimiento desde la web, se le envía un enlace a su correo. Pero, tras unos minutos de pruebas -sin encontrar nada fuera de lo común- decidió cambiar de sistema operativo, centrando sus esfuerzos en Android.

Instagram ofrece además la opción de que el usuario reciba un código de 5 dígitos en su teléfono móvil o cuenta de correo, accediendo con el smartphone, lo que permite recuperar el acceso a la cuenta.

Por supuesto, un hacker podría hacer lo propio si roba el código. Código que podría ser accesible si previamente se compromete la cuenta de correo, o bien se compromete la SIM del teléfono con algún ataque como podría ser SIM SWAP. Pero bueno, esto es lo normal, el investigador quería ir más allá.

Ataque de fuerza bruta al mecanismo de recuperación

Se preguntó si sería posible hacer un ataque de fuerza bruta contra el mecanismo (cualquier combinación entre 000000 y 999999) en menos de 10 minutos, que es el tiempo de vigencia del mecanismo de recuperación. Esto arrojaría un máximo de 1 millón de números.

Obviamente, empresas como Facebook o Instagram no se quedan impasibles cuando se lanzan mecanismos de ataque tan claros como adivinación de contraseñas secuencialmente en breves periodos de tiempo.

Muthiyah contabilizó que, de cada 1000 intentos de ataque, solamente 250 de los códigos de seguridad alcanzaban el objetivo. Pero, tras unos días de pruebas, se dio cuenta de que no se tenía en cuenta el origen de los códigos, es decir, su IP. 

A continuación tenéis un vídeo donde hace un ataque con direcciones IP públicas concurrentes:

La investigación realizada por él no consigue más de 200000 solicitudes en el lapso de 10 minutos, lejos aún del millón máximo posible. Pero incluso así, sería suficiente en muchos casos y desde luego sería posible con una infraestructura apropiada.

Se cifra en unas 5000 direcciones IP lo necesario para hackear una cuenta de Instagram en un ataque real. Y lo peor es que esta potencia de cálculo para un lapso de tiempo como este podemos alquilarla en servidores cloud como AWS o Google por no más de 150€.

Este ataque podría haber sido muy apetecible para atacar, sobre todo, cuentas de alto nivel como aquellas de políticos, famosos, deportistas, etcétera. En cualquier caso, te recomendamos como siempre extremar la precaución y habilitar la autenticación en dos pasos o factores para poner una barrera de seguridad adicional en tus cuentas.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.