Falla de seguridad en Instagram permite compartir historias privadas

El portal BuzzFeed informó que Instagram tiene una falla de seguridad en el mecanismo que maneja las publicaciones de cuentas que se han configurado como privadas.

Las fotos y videos publicados en cuentas privadas en Instagram y Facebook no son tan privados como podrían parecer. Se pueden acceder, descargar y distribuir públicamente a amigos y seguidores través de una solución muy simple.

El informe ilustra cómo una serie de clics en cualquier navegador web puede exponer la URL persistente de publicaciones privadas e historias almacenadas en caché en los servidores de Facebook. Esto significa que cualquier persona puede usar un navegador web, como Google Chrome, para inspeccionar el código fuente en una página web utilizando la herramienta «Inspeccionar elementos». Al pasar a la sección «Img» del encabezado, se puede encontrar la URL de cualquier imagen de Instagram en la que se haya hecho clic, ya sea una historia o una foto publicada en el feed de un usuario. Esa URL se puede compartir y cualquier persona puede ver la foto, incluidas las personas que no siguen la cuenta privada en cuestión.

BuzzFeed señala que las fotos y los videos explícitamente designados como privados sean tan fácilmente accesibles y públicamente compartibles es particularmente atroz debido a los continuos errores de privacidad de Facebook. Recordemos la promesa de privacidad del CEO de Facebook, Mark Zuckerberg, de principios de este año, cuando presentó una «visión centrada en la privacidad para las redes sociales» después de un 2018 plagado de escándalos y percances de datos.

«Tenemos la responsabilidad de proteger sus datos, y si no podemos, no merecemos servirle«, escribió Zuckerberg en 2018 .

Instagram ha señalado que en respuesta a los comentarios, se ha realizado una actualización para que, si las personas cambian su perfil de público a privado, los enlaces web que no se comparten en otros servicios solo sean visibles para sus seguidores en la plataforma.

BRata: malware que espió a 10,000 usuarios de WhatsApp

En Mayo, WhatsApp reconoció una vulnerabilidad dentro de su aplicación que permitía que ciberdelincuentes espiar los mensajes de sus usuarios. Tras el incidente, la plataforma recomendó que se actualizara su aplicación.

Evidentemente, los usuarios que buscaban asegurar su app de mensajería intentaron actualizarla de inmediato a través de diferentes medios, pero lamentablemente muchos cayeron en una «trampa» e instalaron un troyano en vez de la actualización correcta.

Los usuarios buscaron una actualización y muchos de ellos creyeron que instalar una aplicación que fuera literalmente la Actualización de WhatsApp sería el camino más sencillo para estar seguros. Sin embargo este mismo desconocimiento provocó que descargaran un troyano que espiaba sus equipos”, explicó Dmitry Bestushev, director del Equipo Global de Investigación y Análisis de Kaspersky Lab en América Latina, durante la Cumbre Latinoamericana de Ciberseguridad en Iguazú, Argentina.

La aplicación apócrifa, llamada BRata, se encontraba dentro de la PlayStore de Google de Brasil y logró colarse en poco más de 10,000 cuentas del servicio de mensajería.

Se trató de un trabajo de ingeniería social pues los ciberdelincuentes sabían que las personas buscarían estar seguras y de esta forma lograron vulnerarlos. La operación, además, se hacía de forma remota y afectó a usuarios brasileños, quienes tuvieron vulneraciones variadas, desde la exposición de sus datos personales, hasta los datos bancarios de sus aplicaciones financieras”, señaló Santiago Pontirolli, investigador de Kaspersky Lab de Latinoamérica.

Cuando se instalaba, este troyano enviaba en tiempo real a los ciberatacantes un «espejo» de la pantalla del dispositivo y los datos que ahí aparecían. El malware brinda también la capacidad de activar cámaras y micrófonos para convertirse en un completo sistema de espionaje.

Aunque ya fue retirado de la tienda de aplicaciones, las consecuencias de BRata aún no tienen un número preciso de afectados, ya que se viralizó tanto en la tienda de aplicaciones como vía mensaje a mensaje a través del mismo mensajero. Los expertos de Kaspersky subrayaron que este tipo de vulnerabilidades van en ascenso en la región.

El caso brasileño tuvo un trasfondo de ser por volumen, de llegar a usuarios finales y robar sus identificaciones bancarias, sin embargo, este tipo de vulnerabilidades en el caso de México han tenido un motivo más social y político”. Recordemos que el software de espionaje Pegasus, que supuestamente fue utilizado por el gobierno mexicano o un grupo al interior de la administración federal para espiar a activistas, periodistas y defensores de derechos humanos, fue creado por la firma NSO Group para espiar exclusivamente a bandas criminales o terroristas, compañía que además estuvo detrás de la vulnerabilidad que admitió WhatsApp en mayo de este año.

¿Qué es BRata?

Según Kaspersky, BRata es una nueva familia de herramientas de malware que brindan acceso remoto en dispositivos Android. Se le bautizó así por su descripción: «Brazilian RAT Android«, ya que estaba dirigido exclusivamente a víctimas en dicho país: sin embargo, teóricamente también podría usarse para atacar a cualquier otro usuario de Android si los ciberdelincuentes detrás de él lo desean. Se ha generalizado desde enero de 2019, principalmente alojado en la tienda Google Play, pero también se encuentra en tiendas alternativas no oficiales de aplicaciones de Android. Para que el malware funcione correctamente, se requiere al menos la versión Android Lollipop 5.0.

Los cibercriminales detrás de BRata usan pocos vectores de infección. Por ejemplo, usaron notificaciones push en sitios web comprometidos; y también lo difundieron utilizando mensajes enviados a través de WhatsApp o SMS, y enlaces patrocinados en las búsquedas de Google.

Kaspersky recomienda revisar cuidadosamente los permisos que cualquier aplicación solicita en el dispositivo. También subraya que es esencial instalar una excelente solución antimalware actualizada con protección en tiempo real habilitada.

Vulnerabilidad de Bluetooth podría exponer tus datos

Expertos en ciberseguridad descubrieron una vulnerabilidad que permite debilitar el cifrado de los dispositivos Bluetooth con el fin de espiar y manipular las comunicaciones entre éstos posteriormente. La vulnerabilidad ha sido llamada como el ataque KNOB, abreviatura de «Negociación clave de Bluetooth».

La forma de hacerlo es bastante inteligente. El hacker no irrumpe directamente en el cifrado, si no que obliga que un par de dispositivos Bluetooth usen un cifrado más débil, la cual es más fácil de romper. Cada vez que se conectan dos dispositivos Bluetooth, establecen una nueva clave de cifrado. Si un atacante se interpone entre ese proceso de configuración, podría «engañar» a los dos dispositivos de manera que establezcan una clave de cifrado con un número relativamente pequeño de caracteres. El atacante aún tendría que realizar un ataque de fuerza bruta contra uno de los dispositivos para descubrir la contraseña exacta, pero ese ataque podría ocurrir en una cantidad de tiempo alcanzable.

Por ahora, «no hay evidencia» de que la vulnerabilidad haya sido utilizada maliciosamente, y el método para vulnerar los dispositivos obligaría a un ciberatacante a estar presente durante la conexión de los dispositivos Bluetooth, bloquear la transmisión inicial de cada dispositivo al establecer la longitud de la clave de cifrado y transmitir su propio mensaje, lo cual vuelve al escenario difícil de concretar pero no imposible.

No todos los dispositivos son vulnerables. La falla solo se aplica a dispositivos Bluetooth tradicionales (no Bluetooth Low Energy, que se usa con frecuencia en dispositivos de baja potencia como dispositivos portátiles), y algunos dispositivos Bluetooth pueden tener protección contra el ataque, si tienen una contraseña mínima codificada. La organización detrás de Bluetooth no puede solucionar la falla, pero en el futuro implementará una longitud mínima de contraseña en dispositivos vulnerables.

¿Videojuegos en casa? Atención a esta vulnerabilidad

Se ha descubierto una vulnerabilidad en el popular cliente de juegos Steam para Windows, la cual permite que un ciberatacante con permisos limitados ejecute un programa como administrador.

Steam es una plataforma de distribución digital de videojuegos que provee la instalación y actualización automática de juegos y características de comunidad tales como grupos y listas de amigos, almacenamiento en la nube, voz en el juego y funcionalidades de chat.

Para poder disfrutar de todos estos servicios, es necesario estar registrado mediante la creación de una cuenta gratuita, a la que se vinculan los videojuegos comprados por el jugador. Estos juegos pueden ser tanto los que se ofrecen para la compra en la propia plataforma, como ciertos juegos comprados en tiendas físicas.

Con Steam, con más de 100 millones de usuarios registrados y millones de ellos jugando a la vez, esta vulnerabilidad supone un alto riesgo ya que podrían ser susceptibles de que realicen en sus equipos de cómputo una variedad de actividades no deseadas.

El investigador Vasily Kravets, quien descubrió la vulnerabilidad, la reportó inicialmente a la empresa pero fue rechazada sin mayores explicaciones, por lo que decidió hacer público su descubrimiento 45 días después de haberlo reportado.