Facebook soluciona la vulnerabilidad, que permitía ver fotos privadas en la web, seis meses después de que el investigador de seguridad la detectara

Las fotografías privadas de Instagram estaban expuestas a todo el mundo hasta la semana pasada, debido a una vulnerabilidad detectada en la web de la red social. El investigador en seguridad informática Christian López descubrió la manera de hackear la página para cambiar de forma anónima la configuración de privacidad de las cuentas.

El hacker español informó el verano pasado sobre el error al equipo de seguridad de Facebook, propietaria de Instagram, que ha tardado medio año en solucionar el problema. “Es un fallo difícil de arreglar, pero seis meses lo veo excesivo”, comenta.

El investigador explotó en la versión web de Instagram la acción de configurar un perfil en privado o en público, una opción que la plataforma únicamente permite realizar a través de las aplicaciones móviles de iOS y Android. Para ello aplicó la técnica del CSRF –cross-site request forgery, en inglés, o falsificación de petición en sitios cruzados–, que “necesita la interacción de la víctima para que surja efecto”, explica el español. También asegura que creó expresamente dos perfiles para el experimento y que nunca empleó cuentas ajenas.

En caso de tratarse de un ataque real, el hacker hubiera enviado un link al usuario en cuestión mediante, por ejemplo, el envío de un correo electrónico o cualquier otra técnica de phishing –un reclamo que engaña al receptor haciéndole creer que el enlace es fiable–. La víctima, al hacer clic, hubiera dado premiso involuntariamente al intruso a convertir su cuenta privada en pública o al revés.

Si bien Facebook ha tardado seis meses en solucionar el problema, Christian López asegura estar “muy agradecido (con ellos), ya que en todo momento me informaban del estado de mi reporte”. Por otro lado, ha recibido una recompensa económica de “cuatro dígitos” –prefiere no concretar más– y un lugar en el Hall of Fame, entre los demás investigadores de seguridad que han contribuido a mejorar la plataforma a lo largo de los años.

De hecho, junto con Google o Nokia, la empresa de Zuckerberg es una de las firmas más solicitadas a la hora de informar sobre fallos informáticos en sus sistemas, según comenta López, “por sus recompensas”. Gracias al trabajo de miles de investigadores como él, estas páginas son cada vez más seguras, así que se propuso superar el reto de encontrar un error en Instagram (Facebook) porque le daba “más notoriedad”, argumenta el profesional, que también ha informado de errores a marcas como Adobe, Apple, BlackBerry, Ebay, Microsoft, Spotify, Google o Nokia, entre otras.

http://www.lavanguardia.com/tecnologia/redes-sociales/instagram/20140211/54400156910/hacker-fallo-privacidad-instagram.html