Un agujero de seguridad en Instagram podía convertir tu móvil en un aparato para espiarte con el simple envío de una foto: todo lo que debes saber

Una sola foto almacenada en el móvil y un error de seguridad en Instagram habrían dejado a tu teléfono expuesto a ciberataques. Es lo que advertían la semana pasada investigadores de Check Point en una reciente publicación en su página web. El error de seguridad, que recibe el identificador CVE-2020-1895, ya ha sido parcheado por Facebook, la propietaria de la red social de fotografía.Un 

Según cuenta Forbes, la vulnerabilidad afectaría a cualquier dispositivo móvil —Android o iOS— con la aplicación de Instagram instalada. Los ciberdelincuentes enviarían a sus víctimas una imagen a través de WhatsApp, correo electrónico o cualquier otro canal. En el archivo iría camuflado un código malicioso que se activaría una vez el usuario abriese Instagram.

Aunque en un principio esta vulnerabilidad no ha sido explotada activamente por los ciberdelincuentes —y no se conocen víctimas de la misma—, sí que sirve para poner de relieve cómo el peligro de descargar imágenes o archivos en el teléfono sigue latente.

Leer más: Así es como esta nanoinfluencer de Instagram con menos de 3.000 seguidores consigue que las marcas patrocinen sus publicaciones

"La vulnerabilidad crítica (...) permitiría a los atacantes realizar cualquier acción dentro de Instagram —leer mensajes privados, eliminar o publicar contenido, manipular detalles de la cuenta—, así como la posibilidad de convertir el teléfono de la víctima en una herramienta de espionaje gracias a la ubicación por GPS, los contactos telefónicos y la cámara", detallan los investigadores de Check Point.

Portavoces de Facebook, propietaria de Instagram, insistían a Forbes en estos términos: "Check Point constata un error que hemos arreglado rápidamente y no hay razones para creer que haya afectado a nadie". "Según su propia investigación, Check Point no fue capaz de explotar este error con éxito".

La compañía de ciberseguridad rechaza este extremo. "Introduciendo una fotografía modificada en la app, cualquiera puede robar el proceso de la app en ejecución y hacer con él lo que quieran, como si fueran la propia app. Dado que Instagram disfruta de muchos permisos —cámara, GPS, contactos— esto implica que los atacantes pueden acceder a todos ellos y prácticamente espiar a cualquiera que use Instagram".

Leer más: Instagram solo tenía 13 empleados cuando Facebook la compró por 1.000 millones: qué ha sido de ellos desde entonces

Una vez Check Point ha hecho públicos los detalles de su investigación, Facebook ha salido al paso quitando hierro al asunto. No obstante, la firma de seguridad sí advierte que ya advirtieron a la tecnológica en febrero de 2020 —y también en abril y septiembre de este año— del problema. Ahora que el bug se ha dado a conocer públicamente, Facebook niega que se trate de un peligroso código que se pueda ejecutar de forma remota.

Cuando un usuario abre Instagram, la app —que no deja de ser una red social centrada en fotografías— carga las galerías presentes en el móvil. Esta es la razón por la que los usuarios pueden acceder a las imágenes que almacenan en su teléfono, ya que el programa les da la opción de subirlas y compartirlas con sus contactos.

Check Point ha detectado que en el momento en el que un usuario con una imagen con este código malicioso abre Instagram, el código presente en dicho fichero se ejecuta.

Leer más: Facebook pagará a los usuarios que acepten desinstalarse su app o Instagram para participar en un estudio sobre su impacto en las elecciones de EEUU

La red social, por su parte, defiende que el código solo sería ejecutado en caso de que un usuario decidiese subir esa foto a la plataforma. Este es el principal punto de debate entre Facebook, que incide en que ya ha solventado el bug, y Check Point, el laboratorio informático que lo ha destapado. Instagram, por su parte, apunta que el peor escenario resultaría en que la cuenta de un usuario sería secuestrada, y no implicaría ataques "más profundos" en la plataforma.