Semalmente leemos en multitud de medios que «un hacker a atacado» que «un hacker ha robado» que un «hacker X». Es decir, los hackers son los antagonistas del s.XXI.

El problema es que se usa de forma intercambiable las palabras «hacker» y «ciberdelincuente» cuando no son lo mismo.

Por ello, hoy queremos compartir con vosotros esta noticia, en la que se ve la labor de los hackers que pasa desapercibida en la mayoría de las ocasiones o peor aún, reportan un fallo, nadie les hace el más mínimo caso y cuando alguien lo explota, las miradas se vuelven hacia el culpándole de ello.

Laxman Muthiyah, es un investigador de seguridad de TI y bounty hunter de la India, que descubrió una vulnerabilidad en Instagram que permitiría a un atacante hackear la cuenta de Instagram sin el conocimiento o permiso de la víctima, todo ello en menos de 10 minutos.

La vulnerabilidad existía en el mecanismo de restablecimiento de contraseñas de la versión móvil de Instagram. Dicho mecanismo funciona de tal manera que envía una contraseña de seis dígitos a una cuenta de correo electrónico o a un número de teléfono asociado con la cuenta.

Laxman profundizó en esta función y utilizó un ataque de fuerza bruta para adivinar el código de acceso de la cuenta específica contra 200.000 códigos en el punto final del código de verificación. El código de acceso es utilizable durante 10 minutos, después de lo cual caduca, lo que significa que el atacante tiene 10 minutos para violar la cuenta.

El problema es que Instagram tiene multitud de límites establecidos, entre ellos el de petición de reinicio de contraseñas sin embargo, Laxman llevó a cabo un ataque de fuerza bruta mediante el «envío de solicitudes simultáneas utilizando varias IP», lo que le permite «enviar un gran número de solicitudes sin limitarse a ellas».

«En un escenario de ataque real, el atacante necesita 5.000 IPs para piratear una cuenta. Suena grande, pero eso fácil si usas un proveedor de servicios en la nube como Amazon o Google. Costaría alrededor de 150 dólares realizar el ataque completo de un millón de códigos»

Laxman

Hacker VS. Ciberdelincuente

Y aquí es dónde aparece la diferencia entre el ciberdelicuente y el hacker que los medios no quieren entender.

Una vez conocido el fallo Laxman se dirigió al programa de bounty hunter que tiene Instagram, en el cual te pagan por reportar fallos de seguridad, y la compañía le recompensó con 30.000 dólares.

Pensaréis que es muchísimo dinero, pero en caso de que Laxman se hubiese dedicado a robar cuentas de influencers famosos y a chantajearles para recuperar el dinero o, simplemente, hubiese vendido la información a amigos de lo ajeno, facilmente le hubiese añadido otro cero a esa cantidad de dinero.

Empecemos a valorar un poquito más el trabajo de los hackers, por favor.