Skip to main content

Los hackers son capaces de secuestrar tus cuentas de Instagram o LinkedIn incluso antes de que te registres

Hacker

24/05/2022 - 13:30

Investigadores en ciberseguridad ha concluido que los hackers son capaces de secuestrar cuentas incluso antes de que las registres, aprovechando fallos que ya han sido corregidos en sitios web populares, como Instagram, LinkedIn, Zoom, WordPress o Dropbox.

Parece una locura, pero es totalmente cierto. Andrew Paverd, investigador del Centro de Respuesta de Seguridad de Microsoft, y Avinash Sudhodanan, investigador de seguridad independiente, han sido los responsables de este proyecto tan revelador.

En concreto, analizaron 75 servicios online muy conocidos por todos y descubrieron que al menos 35 de ellos son vulnerables a los ataques de pre-secuestro de cuentas.

"El impacto de los ataques de pre-secuestro de cuentas es el mismo que el del secuestro de cuentas. Dependiendo de la naturaleza del servicio objetivo, un ataque exitoso podría permitir al atacante leer/modificar información sensible asociada a la cuenta (por ejemplo, mensajes, extractos de facturación, historial de uso, etc.) o realizar acciones utilizando la identidad de la víctima," afirman.

Ahora bien ¿cómo funciona este pre-secuestro de todos nuestros datos? Primero de todo, para que esto sea posible, el hacker necesita la dirección de correo electrónico de un objetivo, algo que es bastante sencillo. Todos tenemos a nuestra disposición el email de casi cualquier persona.

A continuación, el atacante crea una cuenta en un sitio vulnerable (uno de los 35 que han descubierto, por ejemplo) utilizando la dirección de correo electrónico del objetivo y espera que la víctima descarte la notificación que llega a su bandeja de entrada, por considerarla spam. Aquí ya te han cazado.

Por último, el atacante espera a que la víctima cree una cuenta en el sitio o la engaña indirectamente para que lo haga.

PS3

10 años del hackeo de PSN: la historia de una de las mayores brechas de seguridad de la historia

Algunos ejemplos notables de plataformas vulnerables son Dropbox, Instagram, LinkedIn, Wordpress.com y Zoom. Los investigadores informaron responsablemente de estos problemas a las plataformas, muchas de las cuales los solucionaron tras clasificarlos como de alta gravedad.

El problema de que nos encontremos con estos problemas en aplicaciones tan conocidas y ampliamente usadas, es que todas las plataformas online quieren minimizar al máximo la molestia durante el registro, lo que tiene un efecto adverso en la seguridad de las cuentas.

Para hacer frente al riesgo de cuentas pre-secuestradas, los usuarios pueden configurar inmediatamente la MFA (autenticación multifactor) en sus cuentas.

Y además