La red social apuesta por la autenticación de terceros
Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética reportan que Instagram está por incluir en su aplicación móvil medidas de seguridad adicionales para proteger la privacidad de sus usuarios ante posibles ciberataques. La red social propiedad de Facebook está en proceso de implementar autenticación de terceros.
Sin embargo, estas nuevas medidas de seguridad no ayudarán a bloquear la intervención de cuentas de Instagram si un hacker lograra secuestrar el número de teléfono móvil de un usuario, un delito cada vez más común.
Durante años, expertos en ciberseguridad han advertido que los hackers han estado explotando la débil autenticación en Instagram. Desde hace algún tiempo, Instagram ofrece a los usuarios una opción de seguridad para enviar un código de un solo uso vía SMS a un dispositivo móvil, pero estos códigos se pueden interceptar a través de varios métodos.
El nuevo mecanismo de autenticación requeriría que los usuarios descarguen una aplicación de terceros como Authy, Duo o Google Authenticator, que genera un código de un sólo uso que debe ingresarse después de que el usuario proporcione una contraseña. Instagram dijo que el soporte para aplicaciones de autenticación de terceros ha comenzado a extenderse y estará disponible para los usuarios de todo el mundo en las próximas semanas.
Instagram ha seleccionado a algunos usuarios para probar cómo funciona la nueva característica de seguridad, pues estas opciones aún no están disponibles para la mayoría de los usuarios. Según reportes de los usuarios que han probado las nuevas funciones, el proceso para implementar la autenticación multifactor envuelve:
- Ir a Configuración
- Desplazarse hacia abajo y seleccionar “Autenticación de dos factores”
- Si no se ha activado la autenticación de dos factores, seleccionar “Comenzar”
- Seguir las instrucciones en pantalla
- Ingresar el código de confirmación de la aplicación de autenticación de terceros para completar el proceso
Si ya ha habilitado antes la autenticación basada en SMS, es probable que después de la actualización aún esté habilitada. La aplicación también solicita a los usuarios guardar una serie de códigos de recuperación, que deben guardarse en un lugar seguro en caso de que alguna vez se pierda el dispositivo móvil.
Los problemas que Instagram no ha arreglado
Instagram ha recibido mala publicidad recientemente por parte de publicaciones que informan el secuestro de muchas cuentas con autenticación vía SMS. En muchos casos, la intervención de las cuentas se dio gracias a que los estafadores consiguieron secuestrar el número del teléfono de las víctimas. En estos casos, mencionan expertos en ciberseguridad, las cuentas fueron secuestradas porque Instagram permite a los usuarios restablecer las contraseñas de sus cuentas con un sólo factor, utilizando nada más que un mensaje de texto enviado a un número de teléfono móvil registrado, por lo que los nuevos mecanismos de seguridad no servirán de nada en casos como estos.
Los hackers explotan solicitudes de restablecimiento de contraseña basadas en SMS para secuestrar cuentas de Instagram ejecutando “SIM swaps” no autorizados, engañando al proveedor de telefonía móvil de la víctima para que transfiera el número de teléfono a un dispositivo o cuenta que controlada por el hacker. Una vez que secuestran el número de móvil de la víctima, pueden restablecer la contraseña de la cuenta de Instagram asociada.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
