La Aplicación de Instagram Para Android No Cuenta Con Una Encriptación Completa

Facebook no está encriptando completamente el tráfico de datos que fluye desde y hacia Instagram, su famoso servicio para compartir fotos en dispositivos móviles. Si bien la compañía asegura que

Facebook no está encriptando completamente el tráfico de datos que fluye desde y hacia Instagram, su famoso servicio para compartir fotos en dispositivos móviles. Si bien la compañía asegura que en el futuro implementará un cifrado completo en esta plataforma, aún no ha confirmado una fecha precisa. En otras palabras, cuando utilizas la aplicación de Instagram en tu teléfono móvil, un potencial atacante conectado a la misma red que tú podría monitorear las fotos que estás viendo, acceder a las cookies de tu sesión y obtener tu ID y nombre de usuario.

Mazen Ahmed, especialista en Seguridad de la Información de Defensive-Sec, escribió sobre la falta de encriptación de las comunicaciones de Instagram el sábado pasado. Según explica en su blog, Ahmed evaluó la versión de Android de la aplicación utilizando una herramienta de espionaje llamada WireShark.

Facebook acepta el riesgo de las comunicaciones de Instagram en HTTPS y fuera de HTTPS

WireShark esencialmente tiene la capacidad de monitorear el trafico de datos en la red. Si la información está encriptada, el paquete de datos será imposible de leer. Pero si ésta no está encriptada, entonces la información aparecerá en formato de texto plano. Ahmed notó que Instagram estaba encriptando sólo una parte del tráfico en su aplicación para móviles.

Durante una entrevista vía e-mail con Kaspersky Daily, Ahmed afirmó que llevó a cabo sus investigaciones en la versión de Android de la aplicación. Sin embargo, Ahmed está convencido de que el mismo tipo ataque podría tener lugar en la versión de iOS, ya que ambas apps dependen del mismo servidor.

Por otra parte, Ahmed confirmó que notificó a Facebook de este inconveniente y que los representantes de la compañía le notificaron que “estaban al tanto” de la encriptación incompleta presente en Instagram. Esta fue la respuesta de Facebook que recibió Ahmed:

“Facebook ha discutido largamente este problema y planea movilizar todo lo que hay en la app de Instagram a HTTPS. Sin embargo, no hay una fecha definitiva para el cambio. Por el momento, Facebook acepta el riesgo de las comunicaciones de Instagram en HTTPS y fuera de HTTPS. Estamos trabajando para solucionar este problema lo más pronto posible”.

Desde Kaspersky Daily también intentamos contactar a Facebook para confirmar los dichos de Ahmed, pero aún no hemos tenido respuesta de su parte.

Si te preocupa que tu tráfico de Instagram pueda ser espiado, Ahmed explica que la mejor forma de mantenerse a salvo es limitar la utilización del servicio de Instagram en Android, al menos hasta que Facebook anuncie el lanzamiento de la encriptación completa de su servicio. En este sentido, Ahmed recomienda que los usuarios traten, por el momento, de utilizar solo la versión Web de Instagram, la cual soporta HTTPS completamente.

Traducido por: Guillermo Vidal Quinteiro

Consejos