lunes, diciembre 17, 2012

¿Desde cuándo tengo yo Instagram? ¿Y ahora soy así?

Que los informáticos somos gente de costumbres no es algo que sorprenda a nadie. Cada mañana al llegar a la oficina enciendo mi equipo, abro el lector RSS, Twitter y miro lo que me caído esta noche en el correo - esperando que al jefe no se le haya ocurrido alguna nueva idea -. Con unas buenas reglas antispam es raro encontrar correo no deseado en la bandeja de entrada, aunque alguno se puede “colar”.

En ocasiones, como la de hoy, y haciendo caso omiso al refrán “La curiosidad mató al gato” abro esos correos para ver qué me intentan vender, cuántos centímetros se ofrecen a alargarme cosas, o las contraseñas de qué cuentas quieren conseguir mediante ataques de phishing. En este caso concreto, el origen del correo al que me voy a referir supuestamente venía de la popular red de publicación de fotografías Instragram, y venía desde la dirección support@instagram.com con el asunto Password reset on Instagram.

Figura 1: El correo de recuperación de contraseña de Instagram que apareció en la bandeja de entrada

He de reconocer que el correo está muy bien formado, con el típico formato de recordar contraseña de una cuenta, y un enlace de confirmación de reseteo. De hecho, lo hubiera podido considerar como lícito si no fuese porque NO tengo cuenta de Instagram... o eso creía.

Profundizando un poco en el correo, alimentado por mi sed de curiosidad, mediante el código fuente verifico que el texto que se ve en el enlace es realmente el enlace de destino, con lo que me sorprendo aún más. De todas maneras, a pesar de todo lo lícito que pueda parecer el correo, sigo desconfiando de él - basada esta sospecha en el hecho de que creo que nunca me he sacado una cuenta en este servicio -, así que hago una última prueba.

Me dirijo al formulario de recuperar contraseña de la web oficial de Instagram, e introduzco mi dirección de e-mail. Para mi sorpresa, la web me dice que ¡me han enviado un e-mail de cómo recuperar la contraseña!

Figura 2: Confirmación de que se ha enviado un correo para recupera la contraseña

¿Pero si no tengo cuenta, qué voy a recuperar?

¿Será un nuevo método de captación de usuarios? Verifico mi bandeja de entrada y, efectivamente, tengo un nuevo correo electrónico de Instagram, exactamente igual al anterior, aunque este último en  el idioma de Cervantes.

Figura 3: El correo que llegó con la nueva petición de recuperación de contraseña

Estando seguro de la legitimidad del correo, voy al enlace indicado para recuperar mi contraseña, y efectivamente funciona, introduzco una contraseña nueva, y accedo a mi cuenta. Curiosamente, la cuenta no tiene datos más allá del nombre de usuario y el e-mail.

¿Quiere decir esto que acabo de crear una cuenta?

Más bien no. La cuenta de Instagram guarda una sorpresa para mi… ¡Existen fotos en la cuenta! Y por lo que se ve, no parecen sacadas en la península ibérica…

Figura 4: La foto que estaba subida en la zona privada de la cuenta

Con lo visto hasta ahora puedo llegar a la conclusión de que alguien ha creado una cuenta de Instagram introduciendo mi dirección de e-mail.Entonces...

¿Instagram no valida el email a la hora de crear una cuenta? 

¿Yendo más allá, ni siquiera notifica de la creación de la cuenta? Es hora de comprobarlo, voy a crearme una cuenta de Instagram. Lo primero que me llama la atención es que desde la propia web es posible consultar la cuenta, modificarla, ver las fotos... pero no es posible crearla.  Para esto es necesario hacerlo a través de la aplicación para móviles.

Así que una vez más, manos a la obra. Instalo la aplicación en mi smartphone, pulso en crear nueva cuenta, introduzco los datos, entre ellos mi e-mail… y, efectivamente, la aplicación me dice que ese e-mail ya está siendo utilizado, así que utilizo el e-mail de reserva. Siguiente, siguiente… y cuenta creada. La cuenta queda creada y se hace sin ni siquiera enviar un e-mail de confirmación. Ni de información de email asociado a la cuenta de Instagram.

Visto esto, me surgen varias ideas, ¿se puede considerar suplantación de identidad el hecho de haber recuperado la cuenta que está asociada a mi email, aunque no haya sido yo quien la ha creado? ¿Puedo suplantar la identidad de otros utilizando su email, ya que no se valida? Personalmente creo que Instagram debería darle un repaso a su política de creación de cuentas.

Figura 5: La foto no estaba indexada en Google Images

Por cierto, hemos buscado en Internet a ver si era posible localizar a las personas de la foto, pero no fue posible ya que no tenían metadatos ni pudimos encontrar una copia de la misma en Google Images.

Ioseba Palop
Informática 64

15 comentarios:

Anónimo dijo...

Hace tiempo me pasa con gmail en una de las primeras cuentas que creé, con "." en el username.

Recibí varios registros, de FB y otros servicios que sí validan la dirección de correo de otra persona. Envié bug a Gmail pero nadie ha respondido, y esa cuenta, allí sigue, con correos que no son para mi.

Incluso he visto compras en webs de esa persona ya que me han llegado las confirmaciones, y son webs legítimas... =/

Raiden dijo...

Desgraciadamente no estas solo.
En mi caso, hay un chileno, una chilena y un yanki que estan convencidos de que mi correo es el suyo, y se dan de alta en las cosas mas variopintas, desde el mantenimiento de su coche hasta webs de "busco MILFs", pasando por mailings de la universidad, el correo de su abogado (me han llegado a mi bandeja de entrada fichas policiales de gente...) etc.

Lo de confundirte dando tu correo a una persona todavia tiene un pase, pero lo que realmente me sienta mal son las webs que te permiten dar de alta tu correo en sus listas sin pedir verificacion. Supongo que, parafraseando el cuento, "Para spamearte mejooor".

Kano dijo...

Te preguntas si ¿se puede considerar suplantación de identidad el hecho de haber recuperado la cuenta que está asociada a mi email, aunque no haya sido yo quien la ha creado?

Pregúntate ahora que pasaría si alguien crease dicha cuenta y subiese fotos que pudieran comprometerte de alguna u otra forma.

Imagínate una noticia de estas tan famosas en los periódicos: "Se descubre que X famoso había subido a su cuenta de Instagram fotos de abusos a menores. La policía investiga los discos duros del sospechoso..."

Y ya está liada la madeja.

Enrique Rando dijo...

Con todo esto se me ocurre una cosa para una presentación sobre ingeniería social:

- Un día encuentras un 0day en el renderizado de imágenes en Internet Explorer.

- Creas un montón de fotos "curiosas de ver" con bicho dentro. Uno inofensivo y silencioso. Por ejemplo, que te avise de algún modo de que está activo y después se auto-elimine.

- Creas cuentas en Instagram con los correos de un montón de gente conocida del mundillo este de la seguridad.

- Esperas a que comiencen a llegar las notificaciones y vas haciendo un informe y un PowerPoint.

Cuando todo esté listo, se manda la ponencia a alguna conferencia conocida. Seguro que lo aceptan y... ¡ala¡ ¡a hacer amigos!

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Unknown dijo...

Estimado Ioseba. El artículo está muy interesante, y además bien trabajado. Sólo te falta, dicho sin acritud, conocimiento acerca de culturas, razas, sociedades, y hábitos de vestimenta en cada país. En España es muy común confundir a los "indios", con los "moros", ..
Los que salen en la foto no lucen hábitos de la India, sino más bien de algún país árabe. Es decir, que es muy probable que sean musulmanes. Podría ser que son musulmanes residentes en la India, pues esto también es muy común, pero vamos, no son "indios".
Sé que no es el objeto del artículo y que es una tontería, pero habría que tener cuidado con las cosas que se publican a veces, repito dicho sin acritud.
Te lo dice como dirías tú, un "indio" nacido y criado en España. Un "indio"-español. Puedes preguntarle a Chema por mí, que soy amigo suyo.
Y lo dicho, no es por tocar las narices. Es porque en este país es muy habitual generalizar y llamar "indios" o "moros" a todo el mundo.
Un saludo.

Dipu

Jose Enrique dijo...

Desde hace meses recibo las notificaciones de alguien que se ha registrado con *mi* dirección de correo en Facebook. Me han llegado como 3.000 notificaciones de correo...
Lo he reportado a Facebook, pero obviamente no han hecho nada. Es como decían en otro de los comentarios el problema de los puntos "." con Gmail. Aunque me sorprende que pueda pasar. ¿No deberían necesitar una confirmación del mail?

Anónimo dijo...

A mi me pasa eso continuamente... con un montón de servicios. Algunas veces he "recuperado" la cuenta y me he quedado con ella (por ejemplo twitter)... otras veces tuve que aguantar sus correos durante meses (playsation).

Si quieres ampliar "conocimientos" avisa, todas las semanas tengo un par de casos... por ejemplo ayer me dieron de alta en gmail.

Multivac42 dijo...

Al anónimo de las razas y culturas: llevas razón en que no parecen indios, pero caes tú en el mismo error al decir que parecen musulmanes, "árabes". Efectivamente, parece que se trate de musulmanes, pero el tipo de ropa me lleva a pensar que sean originarios del sudeste asiático (Indonesia, Malasia...), donde, como sabrás, serán muy musulmanes, pero de árabes no tienen un pelo.

En cualquier caso, buena entrada, sirve para que sepamos a que atenernos con Instagram. Quizá de momento la mejor estrategia es abrirse una cuenta antes de que alguien la abra por nosotros (será eso lo que buscan?)

Anónimo dijo...

Yo deber ser que estoy tocado por una varita magica, pero me paso con mi cuenta en Dropbox y, tachan, tachan, en Amazon.es.

Ramón Sola dijo...

Veo que muchos podemos comentar "batallitas" sobre servicios que no confirman las cuentas de correo, o lo hacen rematadamente mal y después es imposible darse de baja, y gente que piensa que posee esas direcciones que en realidad son nuestras. Mención especial para los servicios que incluyen la contraseña de acceso tal cual en el mensaje de notificación del alta. XD

Daniel Brena dijo...

Eso mismo me pregunte, cuando hice mi correo mas formal hice una nueva cuenta en Instagram y pense que me llegaria un correo de notificacion que me registre, pero no fue asi, revise en el spam y nada eso ya tiene tiempo que me paso, y lo unico que hice fue suplantar el correo de un amigo para verificar si funcionaba y fue asi, con el tiempo ya no pude tener acceso ya que mi compañero al parecer quiso registrarse de nuevo y solo tuvo que reseatear la contraseña.

Luis Prado dijo...

A mi me ocurrió exactamente lo mismo, quise crear una cuenta en Instagram con mi cuenta de Facebook y me avisa que el correo ya esta en uso, seguí los mismos pasos del autor de este comentario, cambie la contraseña e ingrese, la cuenta era de una chica y las fotografías de una adolescente.
Algún consejo de que se debe de hacer en estos casos.

luis dijo...
Este comentario ha sido eliminado por el autor.
Karen dijo...

me pasó lo mismo hoy tratando de crear una nueva cuenta! alguien habia usado mi correo, yo solo le di a eliminar en el correo de recuperacion de contraseña que me enviaron
y ya yo cree mi cuenta con mmi correo
en mi caso es una mujer con el mismo primer nombre y el mismo apellido paterno, así que quiero pensar que solo fue error de dedo por su parte en cuanto al correo

Entradas populares