Un fallo de Instagram permitía espiar a los usuarios con tan solo enviar una imagen

Una "importante vulnerabilidad" en el tratamiento de las imágenes a través de Instagram permitía tomar por completo el control de una cuenta en esta red social utilizando una sola imagen maliciosa, que servía de puerta de entrada para no solo tener acceso a los mensajes e imágenes de la víctima en su perfil, sino infiltrarse también en los contactos del 'smartphone' del usuario, su ubicación GPS, su cámara e incluso su micrófono, como así ha descubierto una investigación de Check Point Research, el área de investigación de la compañía proveedora de soluciones de seguridad. Según comparte la propia empresa en un artículo publicado en su blog, los investigadores detectaron un fallo "crítico" en Instagram, una de las redes sociales más populares con casi mil millones de usuarios en todo el mundo y más de cien millones de fotos compartidas cada día, que permitía al atacante realizar acciones sin su consentimiento, eliminar o publicar fotos a voluntad y manipular la información del perfil de su cuenta.

En concreto, los investigadores de Check Point señalan que han detectado el fallo de seguridad en Mozjpeg, el procesador de imágenes de código abierto que utiliza Instagram para subir imágenes al 'feed' del usuario, ya dvierten de que el ciberatacante solo necesitaría una única imagen maliciosa para conseguir su objetivo. El ataque se produciría mediante el envío de una imagen infectada a la víctima a través de correo electrónico o de un servicio de mensajería como WhatsApp. Así, la imagen queda guardada en el teléfono móvil y una vez el usuario abre la 'app' de Instagram, automáticamente se activa la carga maliciosa que desencadena el fallo de seguridad, lo que daría al atacante acceso total al teléfono.

De esta forma, y como apuntan desde la compañía, se podría incluso llegar a bloquear la cuenta a la víctima, lo que podría derivar en problemas como la suplantación de la identidad o pérdida de datos. "Dado que la aplicación de Instagram tiene permisos muy amplios, esto puede permitir que un atacante convierta instantáneamente el teléfono en cuestión en una herramienta de espionaje perfecta, poniendo en grave riesgo la privacidad de millones de usuarios", concretan también en el blog de Check Point. Desde la compañía advierten de que este tipo de aplicaciones suelen utilizar 'software' de terceros para llevar a cabo tareas comunes como el procesamiento de imágenes y sonido o la conectividad de la red. Sin embargo, el principal riesgo reside en que el código de terceros a menudo contiene vulnerabilidades que podrían provocar fallos de seguridad en la aplicación en la que están implementados.

¿Cómo evitar un ataque similar?

En este sentido, la empresa de ciberseguridad recomienda a los desarrolladores que examinen las bibliotecas de códigos de terceros y se aseguren de que su integración se realiza correctamente. "El código de terceros se utiliza prácticamente en todas las aplicaciones que existen, y es muy fácil pasar por alto las graves amenazas que contiene", indica Yaniv Balmas, jefe de Investigación de Check Point. Teniendo en cuenta que la aplicación de Instagram pide amplios permisos de acceso a otras funciones de los 'smartphones', aconsejan dedicar tiempo a comprobar los permisos de acceso que la aplicación demanda. "El típico mensaje que aparece para conceder permisos a una 'app' puede parecer una molestia, pero en la práctica esta es una de las líneas de defensa más fuertes contra los ciberataques móviles", añade Balmas.

Los investigadores de Check Point, que iniciaron este análisis a principios de 2020, compartieron los hallazgos de su investigación con Facebook, compañía propietaria de Instagram. Tras notificarles la vulnerabilidad, el fallo fue subsanado, tal y como reportan desde Check Point, y se lanzó un parche de seguridad para las nuevas versiones de la aplicación Instagram en todas las posibles plataformas.