La configuración de Instagram no es segura en redes WiFi públicas

Es el tercer gran agujero de seguridad descubierto en las redes sociales más populares del mundo en lo que llevamos de verano. Esta vez, afecta a la plataforma en la que doscientos millones de personas intercambian fotos. Dos expertos han descubierto que la privacidad de los usuarios está comprometida cuando se conectan a una WiFi pública.

Conectarse a una red de Internet abierta a cualquier usuario, que son esas en las que no aparece el "candadito" y no nos pide una clave de acceso, nunca ha sido lo más seguro del mundo. Ahora sabemos que ese gesto deja a la intemperie información que hemos volcado en Instagram.

Cada vez que nos conectamos a ésta o a cualquier red social tenemos que abrir sesión y verificar la identidad. Para hacerlo, nuestro sistema y los servidores de la red a la que nos queremos conectar intercambian paquetes de información. Esos mensajes suelen estar cifrados pero Instagram no lo hace. Lo han demostrado al menos dos expertos en ciberseguridad (es posible que más) y el Inteco, el instituto estatal que vigila las amenazas en la red, ha incluído este agujero en su último boletín semanal.

Si la conexión con Instagram se realiza con la wifi de casa, no hay riesgo. Sin embargo, la cosa cambia con una red pública (algo más que habitual en vacaciones) porque estos expertos han demostrado que se puede interceptar el tráfico no cifrado de información entre los servidores de la compañía y el usuario. Por tanto, la recomendación es clara. No utilizar las aplicaciones móviles de Instagram para Android y iOS si estamos conectados a una wifi pública.

Facebook, propietaria de la red Instagram desde hace dos años después de pagar mil millones de dólares, reconoce y asume el riesgo de mantener "parte de las comunicaciones de Instagram" sin encriptar. Su equipo de seguridad ha respondido a uno de los expertos que descubrió el fallo. Dice que está estudiando la codificación de esas conexiones pero que "no hay fecha definitiva para el cambio".

Únete al canal de WhatsApp de la SER

Éste es el tercer fallo grave descubierto en las redes sociales más populares del mundo. Hace unos días se difundía la configuración insegura de Badoo que permite que los perfiles de sus usuarios se puedan ver haciendo una búsqueda en Google. Y a primeros de julio, dos hackers demostraron en la redacción del diario El País cómo se puede suplantar la identidad en Whatsapp. Estas dos redes sociales e Instagram suman casi mil millones de usuarios en todo el mundo.

Hackers que han encontrado el problema

Uno de ellos es Mazin Ahmed (@mazen160) que se define como estudiante y experto en seguridad en aplicaciones móviles. En su blog demuestra las complejas claves necesarias para interponerse en el tráfico de información que establece el usuario con los servidores de la red social.

Otro de los expertos que lo ha demostrado se llama Steve Graham (@stevegraham) que gestiona el repositorio digital Github y que ha reclamado a una gratificación a Facebook a través de su cuenta en Twitter.