Aunque en un principio se creía que este ataque solo había apuntado a cuentas de celebridades, la cantante Selena Gomez fue una de las primeras víctimas, ESET constató que también impactó en las cuentas de Instagram de millones de otros usuarios.
El pasado 30 de agosto, Instagram había asegurado a los usuarios no famosos que sus cuentas no estaban en peligro porque las filtraciones solo apuntaban a celebridades. Pero los atacantes, que se hacen llamar Doxagram, crearon una base de datos que fue publicada en la Dark Web (conjunto de sitios web y bases de datos que forman parte de Internet, pero que escapan a la indexación de los motores de búsqueda y se consideran de difícil acceso) con la información de los usuarios afectados, la cual podía ser comprada por 10 dólares.
De acuerdo con los especialistas en seguridad informática de ESET, los atacantes explotaron un bug (una vulnerabilidad que puede encontrarse en la codificación de un software y altera su comportamiento deseado) en una de las API (interfaz de programación de aplicaciones) de la aplicación, lo cual les dio acceso a números de teléfono y direcciones de correo electrónico de usuarios registrados.
Esta noticia motivó al CTO de Instagram, Mike Krieger, a publicar una declaración confirmando la escala de la brecha: “Nos preocupa profundamente la seguridad de la comunidad Instagram, así que queremos hacerte saber que recientemente descubrimos un bug en Instagram que podría utilizarse para acceder a la dirección de correo electrónico y al número de teléfono de algunas personas aunque no fueran públicos”.
Originalmente desde Instagram afirmaron que solo un “bajo porcentaje” de cuentas se habían visto afectadas, pero los atacantes rápidamente refutaron esta afirmación forzando a la empresa propiedad de Facebook a aconsejar a los usuarios cambiar sus contraseñas y así protegerse de tal ataque.
Esta no es la primera vez que Instagram está en las noticias por problemas de seguridad; la última vez fue utilizada por los ciberdelincuentes para esconder direcciones de C&C en comentarios, aunque en ese caso no hubo ataque y no se vieron impactados millones de usuarios.
“Desde ESET Latinoamérica se recomienda a todos los registrado en Instagram, cambiar la contraseña de inmediato por una fuerte y robusta, y activar la doble autenticación para proteger el acceso a las cuentas. Es importante ser conscientes de las configuraciones de seguridad para proteger la información personal y mantenerse a salvo de filtraciones de datos”, mencionó Camilo Gutiérrez, jefe del Laboratorio de ESET Latinoamérica.
El impacto de una brecha o fuga de datos puede tener distintas caras. ESET Latinoamérica comparte un video para saber por qué es importante evitarlas: https://www.welivesecurity.com/la-es/videos/consecuencias-de-una-fuga-de-datos/
Por otro lado, desde el Laboratorio de Investigación de ESET Latinoamérica se comparten los siguientes consejos para ayudar a los usuarios a mantenerse protegido en las redes sociales:
- Actualizar software y mantener los dispositivos seguros: El sistema operativo y aplicaciones, así como todo el software (especialmente los navegadores) deben estar al día. Además, para mantener a los cibercriminales lejos, es necesario utilizar una solución de seguridad completa y confiable tanto en la computadora como en los dispositivos móviles.
- Usar contraseñas fuertes: Esta práctica no solo aplica para las redes sociales, sino también Internet en general. Las contraseñas deben ser fuertes, robustas y únicas, de modo que no se repitan en distintos servicios. Hay que tener en cuenta que no es necesario preocuparse por tener que memorizarlas todas, ya que se puede usar un gestor de contraseñas para evitar que marearse con los asuntos de seguridad.
- Revisar la configuración de las cuentas: La prioridad principal al crear un nuevo perfil es revisar las opciones de seguridad y privacidad que ofrezca el servicio y configurarlas correctamente. Asegurarse de que las publicaciones solo sean visibles para los amigos cercanos o para el grupo al que se apunta, y no para cualquiera. Si se añaden detalles al perfil, como datos personales, es una buena opción esconderlos de extraños y posibles estafadores para que no los puedan extraer.
- Pensar dos veces antes de publicar: Aun cuando se mantenga la mayor privacidad posible en los ajustes, capturas de pantalla de perfil, publicaciones o mensajes podrían terminar diseminadas por la Web si alguien en quien se confía tiene malas intenciones y se lo propone. Por lo tanto, hay que meditar siempre antes de publicar un texto, foto, opinión, mensaje personal o video. Una vez online, será difícil retirarlo por completo.
- Ser escéptico: Una regla general: “Si algo suena demasiado bueno para ser cierto, probablemente no lo sea”. Así que si alguien ofrece un nuevo auto, computadora o smartphone a cambio de información sensible como fecha o lugar de nacimiento, documento o teléfono, es probable que sea una trampa. Es importante mantener los datos sensibles en privado y, antes de proporcionarlos en algún sitio o participar de sorteos y concursos, verificar su autenticidad.
- Evitar a los extraños: El ciberespacio puede proporcionar anonimato y “camuflaje” a los cibercriminales, lo que les permite manipular a sus víctimas para que ejecuten acciones que normalmente no aceptarían. Para mantenerse protegido, hay que limitar la cantidad de personas que pueden contactarse y, si es posible, interactuar solo con quienes realmente se conoce.