vulnerability

Una falla de autorización en el lado del servidor en la interfaz web móvil de Instagram permitió a usuarios completamente no autenticados acceder a publicaciones de cuentas privadas sin autenticación, relaciones de seguidores o consentimiento del usuario.

La vulnerabilidad, revelada por el investigador de seguridad Jatin Banga después de 102 días de esfuerzos de divulgación coordinada, destaca importantes deficiencias en las prácticas de gestión de vulnerabilidades de Meta y en los controles de seguridad compensatorios que protegen a más de mil millones de usuarios de Instagram.

Descripción Técnica

La vulnerabilidad explotó una falla de autorización en el lado del servidor, en lugar de un problema de almacenamiento en caché de una red de entrega de contenido (CDN). Los atacantes enviaron solicitudes GET no autenticadas instagram.com/ utilizando encabezados móviles específicos, y el servidor respondió con HTML que contenía estructuras de datos JSON incrustadas.

Específicamente, el objeto polaris_timeline_connection incluía enlaces CDN a fotos privadas de alta resolución, leyendas y metadatos restringidos sin las comprobaciones de autorización adecuadas.

El ataque no requirió credenciales de autenticación, relaciones de seguidores ni privilegios especiales, solo el conocimiento del nombre de usuario del objetivo y un cliente HTTP básico. Más información sobre vulnerabilidades de clientes HTTP.

Las pruebas en siete cuentas autorizadas revelaron que la vulnerabilidad afectó aproximadamente al 28% de las cuentas probadas.

Sin embargo, Banga sugiere que la tasa de explotación real podría ser mayor, basándose en patrones de descubrimiento accidental observados durante las pruebas.

La naturaleza condicional de la vulnerabilidad, que afecta a subconjuntos impredecibles de cuentas, la hizo particularmente peligrosa en comparación con las explotaciones universales que afectan a todos los usuarios de manera uniforme.

Banga envió el informe inicial al programa de recompensas por errores de Meta el 12 de octubre de 2025. La primera respuesta de Meta clasificó erróneamente el problema como un artefacto de almacenamiento en caché de CDN y cerró el caso sin investigación.

Un segundo informe aclaratorio el mismo día corrigió la comprensión de Meta, distinguiendo la falla de autorización de los problemas de la capa de red.

El 16 de octubre, solo cuatro días después de proporcionar evidencia técnica detallada, la vulnerabilidad ya no funcionó en todas las cuentas previamente vulnerables, lo que indica que Meta había solucionado el problema.

Es importante destacar que Meta nunca confirmó explícitamente la corrección ni reconoció la existencia de la vulnerabilidad.

El 27 de octubre, Meta respondió oficialmente: “No podemos reproducir este problema”, a pesar de solicitar cuentas de prueba vulnerables a Banga y luego solucionar esas mismas cuentas.

Meta caracterizó la solución como una consecuencia no intencionada de cambios de infraestructura no relacionados en lugar de correcciones de errores específicas, lo que plantea interrogantes sobre si se implementaron medidas de seguridad permanentes.

Banga documentó la vulnerabilidad con evidencia exhaustiva: prueba de concepto en video con marca de tiempo, registros completos de la red HTTP con encabezados, capturas de pantalla antes y después, y toda la correspondencia con Meta.

Todo el material se comprometió con GitHub con verificación de integridad criptográfica, evitando modificaciones retroactivas o afirmaciones de caracterización errónea.

Surgieron tres preocupaciones críticas de la respuesta de Meta: la empresa se negó a ofrecer datos de depuración y encabezados X-FB-Debug para el rastreo interno, rechazó un conjunto de datos de análisis comparativo de cuentas para comprender las condiciones de vulnerabilidad y no realizó un análisis visible de la causa raíz para confirmar la remediación permanente.

Estas negativas impidieron la verificación independiente de que el problema se abordó de manera integral.

Instagram tiene más de mil millones de usuarios, cuyas configuraciones de privacidad de cuenta dependen completamente de la aplicación de la autorización en el backend.

Las vulnerabilidades condicionales que afectan a subconjuntos impredecibles de cuentas plantean riesgos particulares porque permiten ataques dirigidos contra usuarios específicos mientras siguen siendo difíciles de detectar a gran escala.

La divulgación pública de Banga después de superar la ventana estándar de divulgación coordinada de 90 días subraya la frustración con la gestión despectiva de Meta de una brecha de privacidad crítica, sin reconocimiento de la existencia de la vulnerabilidad y una transparencia insuficiente con respecto a los esfuerzos de remediación.

El incidente demuestra por qué los investigadores de seguridad deben documentar las vulnerabilidades exhaustivamente y mantener la integridad criptográfica de la evidencia cuando las respuestas de las organizaciones carecen de transparencia o responsabilidad.

Síguenos en Google News , LinkedIn y X para obtener más actualizaciones instantáneas. Establece Cyberpress como una fuente preferida en Google.