Que los informáticos somos gente de costumbres no es algo que sorprenda a nadie. Cada mañana al llegar a la oficina enciendo mi equipo, abro el lector RSS, Twitter y miro lo que me caído esta noche en el correo - esperando que al jefe no se le haya ocurrido alguna nueva idea -. Con unas buenas reglas antispam es raro encontrar correo no deseado en la bandeja de entrada, aunque alguno se puede “colar”.
En ocasiones, como la de hoy, y haciendo caso omiso al refrán “La curiosidad mató al gato” abro esos correos para ver qué me intentan vender, cuántos centímetros se ofrecen a alargarme cosas, o las contraseñas de qué cuentas quieren conseguir mediante ataques de phishing. En este caso concreto, el origen del correo al que me voy a referir supuestamente venía de la popular red de publicación de fotografías Instragram, y venía desde la dirección support@instagram.com con el asunto Password reset on Instagram.
He de reconocer que el correo está muy bien formado, con el típico formato de recordar contraseña de una cuenta, y un enlace de confirmación de reseteo. De hecho, lo hubiera podido considerar como lícito si no fuese porque NO tengo cuenta de Instagram... o eso creía.
Profundizando un poco en el correo, alimentado por mi sed de curiosidad, mediante el código fuente verifico que el texto que se ve en el enlace es realmente el enlace de destino, con lo que me sorprendo aún más. De todas maneras, a pesar de todo lo lícito que pueda parecer el correo, sigo desconfiando de él - basada esta sospecha en el hecho de que creo que nunca me he sacado una cuenta en este servicio -, así que hago una última prueba.
Me dirijo al formulario de recuperar contraseña de la web oficial de Instagram, e introduzco mi dirección de e-mail. Para mi sorpresa, la web me dice que ¡me han enviado un e-mail de cómo recuperar la contraseña!
¿Pero si no tengo cuenta, qué voy a recuperar?
¿Será un nuevo método de captación de usuarios? Verifico mi bandeja de entrada y, efectivamente, tengo un nuevo correo electrónico de Instagram, exactamente igual al anterior, aunque este último en el idioma de Cervantes.
Estando seguro de la legitimidad del correo, voy al enlace indicado para recuperar mi contraseña, y efectivamente funciona, introduzco una contraseña nueva, y accedo a mi cuenta. Curiosamente, la cuenta no tiene datos más allá del nombre de usuario y el e-mail.
¿Quiere decir esto que acabo de crear una cuenta?
Más bien no. La cuenta de Instagram guarda una sorpresa para mi… ¡Existen fotos en la cuenta! Y por lo que se ve, no parecen sacadas en la península ibérica…
Con lo visto hasta ahora puedo llegar a la conclusión de que alguien ha creado una cuenta de Instagram introduciendo mi dirección de e-mail.Entonces...
¿Instagram no valida el email a la hora de crear una cuenta?
¿Yendo más allá, ni siquiera notifica de la creación de la cuenta? Es hora de comprobarlo, voy a crearme una cuenta de Instagram. Lo primero que me llama la atención es que desde la propia web es posible consultar la cuenta, modificarla, ver las fotos... pero no es posible crearla. Para esto es necesario hacerlo a través de la aplicación para móviles.
Así que una vez más, manos a la obra. Instalo la aplicación en mi smartphone, pulso en crear nueva cuenta, introduzco los datos, entre ellos mi e-mail… y, efectivamente, la aplicación me dice que ese e-mail ya está siendo utilizado, así que utilizo el e-mail de reserva. Siguiente, siguiente… y cuenta creada. La cuenta queda creada y se hace sin ni siquiera enviar un e-mail de confirmación. Ni de información de email asociado a la cuenta de Instagram.
Visto esto, me surgen varias ideas, ¿se puede considerar suplantación de identidad el hecho de haber recuperado la cuenta que está asociada a mi email, aunque no haya sido yo quien la ha creado? ¿Puedo suplantar la identidad de otros utilizando su email, ya que no se valida? Personalmente creo que Instagram debería darle un repaso a su política de creación de cuentas.
Por cierto, hemos buscado en Internet a ver si era posible localizar a las personas de la foto, pero no fue posible ya que no tenían metadatos ni pudimos encontrar una copia de la misma en Google Images.
Ioseba Palop
Informática 64
En ocasiones, como la de hoy, y haciendo caso omiso al refrán “La curiosidad mató al gato” abro esos correos para ver qué me intentan vender, cuántos centímetros se ofrecen a alargarme cosas, o las contraseñas de qué cuentas quieren conseguir mediante ataques de phishing. En este caso concreto, el origen del correo al que me voy a referir supuestamente venía de la popular red de publicación de fotografías Instragram, y venía desde la dirección support@instagram.com con el asunto Password reset on Instagram.
Figura 1: El correo de recuperación de contraseña de Instagram que apareció en la bandeja de entrada |
He de reconocer que el correo está muy bien formado, con el típico formato de recordar contraseña de una cuenta, y un enlace de confirmación de reseteo. De hecho, lo hubiera podido considerar como lícito si no fuese porque NO tengo cuenta de Instagram... o eso creía.
Profundizando un poco en el correo, alimentado por mi sed de curiosidad, mediante el código fuente verifico que el texto que se ve en el enlace es realmente el enlace de destino, con lo que me sorprendo aún más. De todas maneras, a pesar de todo lo lícito que pueda parecer el correo, sigo desconfiando de él - basada esta sospecha en el hecho de que creo que nunca me he sacado una cuenta en este servicio -, así que hago una última prueba.
Me dirijo al formulario de recuperar contraseña de la web oficial de Instagram, e introduzco mi dirección de e-mail. Para mi sorpresa, la web me dice que ¡me han enviado un e-mail de cómo recuperar la contraseña!
Figura 2: Confirmación de que se ha enviado un correo para recupera la contraseña |
¿Pero si no tengo cuenta, qué voy a recuperar?
¿Será un nuevo método de captación de usuarios? Verifico mi bandeja de entrada y, efectivamente, tengo un nuevo correo electrónico de Instagram, exactamente igual al anterior, aunque este último en el idioma de Cervantes.
Figura 3: El correo que llegó con la nueva petición de recuperación de contraseña |
Estando seguro de la legitimidad del correo, voy al enlace indicado para recuperar mi contraseña, y efectivamente funciona, introduzco una contraseña nueva, y accedo a mi cuenta. Curiosamente, la cuenta no tiene datos más allá del nombre de usuario y el e-mail.
¿Quiere decir esto que acabo de crear una cuenta?
Más bien no. La cuenta de Instagram guarda una sorpresa para mi… ¡Existen fotos en la cuenta! Y por lo que se ve, no parecen sacadas en la península ibérica…
Figura 4: La foto que estaba subida en la zona privada de la cuenta |
Con lo visto hasta ahora puedo llegar a la conclusión de que alguien ha creado una cuenta de Instagram introduciendo mi dirección de e-mail.Entonces...
¿Instagram no valida el email a la hora de crear una cuenta?
¿Yendo más allá, ni siquiera notifica de la creación de la cuenta? Es hora de comprobarlo, voy a crearme una cuenta de Instagram. Lo primero que me llama la atención es que desde la propia web es posible consultar la cuenta, modificarla, ver las fotos... pero no es posible crearla. Para esto es necesario hacerlo a través de la aplicación para móviles.
Así que una vez más, manos a la obra. Instalo la aplicación en mi smartphone, pulso en crear nueva cuenta, introduzco los datos, entre ellos mi e-mail… y, efectivamente, la aplicación me dice que ese e-mail ya está siendo utilizado, así que utilizo el e-mail de reserva. Siguiente, siguiente… y cuenta creada. La cuenta queda creada y se hace sin ni siquiera enviar un e-mail de confirmación. Ni de información de email asociado a la cuenta de Instagram.
Visto esto, me surgen varias ideas, ¿se puede considerar suplantación de identidad el hecho de haber recuperado la cuenta que está asociada a mi email, aunque no haya sido yo quien la ha creado? ¿Puedo suplantar la identidad de otros utilizando su email, ya que no se valida? Personalmente creo que Instagram debería darle un repaso a su política de creación de cuentas.
Figura 5: La foto no estaba indexada en Google Images |
Por cierto, hemos buscado en Internet a ver si era posible localizar a las personas de la foto, pero no fue posible ya que no tenían metadatos ni pudimos encontrar una copia de la misma en Google Images.
Ioseba Palop
Informática 64
Hace tiempo me pasa con gmail en una de las primeras cuentas que creé, con "." en el username.
ResponderEliminarRecibí varios registros, de FB y otros servicios que sí validan la dirección de correo de otra persona. Envié bug a Gmail pero nadie ha respondido, y esa cuenta, allí sigue, con correos que no son para mi.
Incluso he visto compras en webs de esa persona ya que me han llegado las confirmaciones, y son webs legítimas... =/
Desgraciadamente no estas solo.
ResponderEliminarEn mi caso, hay un chileno, una chilena y un yanki que estan convencidos de que mi correo es el suyo, y se dan de alta en las cosas mas variopintas, desde el mantenimiento de su coche hasta webs de "busco MILFs", pasando por mailings de la universidad, el correo de su abogado (me han llegado a mi bandeja de entrada fichas policiales de gente...) etc.
Lo de confundirte dando tu correo a una persona todavia tiene un pase, pero lo que realmente me sienta mal son las webs que te permiten dar de alta tu correo en sus listas sin pedir verificacion. Supongo que, parafraseando el cuento, "Para spamearte mejooor".
Te preguntas si ¿se puede considerar suplantación de identidad el hecho de haber recuperado la cuenta que está asociada a mi email, aunque no haya sido yo quien la ha creado?
ResponderEliminarPregúntate ahora que pasaría si alguien crease dicha cuenta y subiese fotos que pudieran comprometerte de alguna u otra forma.
Imagínate una noticia de estas tan famosas en los periódicos: "Se descubre que X famoso había subido a su cuenta de Instagram fotos de abusos a menores. La policía investiga los discos duros del sospechoso..."
Y ya está liada la madeja.
Con todo esto se me ocurre una cosa para una presentación sobre ingeniería social:
ResponderEliminar- Un día encuentras un 0day en el renderizado de imágenes en Internet Explorer.
- Creas un montón de fotos "curiosas de ver" con bicho dentro. Uno inofensivo y silencioso. Por ejemplo, que te avise de algún modo de que está activo y después se auto-elimine.
- Creas cuentas en Instagram con los correos de un montón de gente conocida del mundillo este de la seguridad.
- Esperas a que comiencen a llegar las notificaciones y vas haciendo un informe y un PowerPoint.
Cuando todo esté listo, se manda la ponencia a alguna conferencia conocida. Seguro que lo aceptan y... ¡ala¡ ¡a hacer amigos!
Este comentario ha sido eliminado por el autor.
ResponderEliminarEstimado Ioseba. El artículo está muy interesante, y además bien trabajado. Sólo te falta, dicho sin acritud, conocimiento acerca de culturas, razas, sociedades, y hábitos de vestimenta en cada país. En España es muy común confundir a los "indios", con los "moros", ..
ResponderEliminarLos que salen en la foto no lucen hábitos de la India, sino más bien de algún país árabe. Es decir, que es muy probable que sean musulmanes. Podría ser que son musulmanes residentes en la India, pues esto también es muy común, pero vamos, no son "indios".
Sé que no es el objeto del artículo y que es una tontería, pero habría que tener cuidado con las cosas que se publican a veces, repito dicho sin acritud.
Te lo dice como dirías tú, un "indio" nacido y criado en España. Un "indio"-español. Puedes preguntarle a Chema por mí, que soy amigo suyo.
Y lo dicho, no es por tocar las narices. Es porque en este país es muy habitual generalizar y llamar "indios" o "moros" a todo el mundo.
Un saludo.
Dipu
Desde hace meses recibo las notificaciones de alguien que se ha registrado con *mi* dirección de correo en Facebook. Me han llegado como 3.000 notificaciones de correo...
ResponderEliminarLo he reportado a Facebook, pero obviamente no han hecho nada. Es como decían en otro de los comentarios el problema de los puntos "." con Gmail. Aunque me sorprende que pueda pasar. ¿No deberían necesitar una confirmación del mail?
A mi me pasa eso continuamente... con un montón de servicios. Algunas veces he "recuperado" la cuenta y me he quedado con ella (por ejemplo twitter)... otras veces tuve que aguantar sus correos durante meses (playsation).
ResponderEliminarSi quieres ampliar "conocimientos" avisa, todas las semanas tengo un par de casos... por ejemplo ayer me dieron de alta en gmail.
Al anónimo de las razas y culturas: llevas razón en que no parecen indios, pero caes tú en el mismo error al decir que parecen musulmanes, "árabes". Efectivamente, parece que se trate de musulmanes, pero el tipo de ropa me lleva a pensar que sean originarios del sudeste asiático (Indonesia, Malasia...), donde, como sabrás, serán muy musulmanes, pero de árabes no tienen un pelo.
ResponderEliminarEn cualquier caso, buena entrada, sirve para que sepamos a que atenernos con Instagram. Quizá de momento la mejor estrategia es abrirse una cuenta antes de que alguien la abra por nosotros (será eso lo que buscan?)
Yo deber ser que estoy tocado por una varita magica, pero me paso con mi cuenta en Dropbox y, tachan, tachan, en Amazon.es.
ResponderEliminarVeo que muchos podemos comentar "batallitas" sobre servicios que no confirman las cuentas de correo, o lo hacen rematadamente mal y después es imposible darse de baja, y gente que piensa que posee esas direcciones que en realidad son nuestras. Mención especial para los servicios que incluyen la contraseña de acceso tal cual en el mensaje de notificación del alta. XD
ResponderEliminarEso mismo me pregunte, cuando hice mi correo mas formal hice una nueva cuenta en Instagram y pense que me llegaria un correo de notificacion que me registre, pero no fue asi, revise en el spam y nada eso ya tiene tiempo que me paso, y lo unico que hice fue suplantar el correo de un amigo para verificar si funcionaba y fue asi, con el tiempo ya no pude tener acceso ya que mi compañero al parecer quiso registrarse de nuevo y solo tuvo que reseatear la contraseña.
ResponderEliminarA mi me ocurrió exactamente lo mismo, quise crear una cuenta en Instagram con mi cuenta de Facebook y me avisa que el correo ya esta en uso, seguí los mismos pasos del autor de este comentario, cambie la contraseña e ingrese, la cuenta era de una chica y las fotografías de una adolescente.
ResponderEliminarAlgún consejo de que se debe de hacer en estos casos.
Este comentario ha sido eliminado por el autor.
ResponderEliminarme pasó lo mismo hoy tratando de crear una nueva cuenta! alguien habia usado mi correo, yo solo le di a eliminar en el correo de recuperacion de contraseña que me enviaron
ResponderEliminary ya yo cree mi cuenta con mmi correo
en mi caso es una mujer con el mismo primer nombre y el mismo apellido paterno, así que quiero pensar que solo fue error de dedo por su parte en cuanto al correo
Me ha sucedido exactamente lo mismo o parecido, cuando vinculé mi cuenta de Facebook para crear una cuenta en Instagram con el crosslogin, una chica en Suiza había utilizado mi email para crear su cuenta de Instagram.
ResponderEliminarBorré todas las fotos, cuando subí mi primera foto, los seguidores se preguntaron que le había pasado ala dueña de la cuenta...
A día de hoy no sé realmente que es lo que ha sucedido para que al vincular mi Facebook con Instagram me haya apoderado de una cuenta que no era mía....Realmente Instagram ha crecido tanto porque permitía crear cuentas multiples?
Hola a mi me pasa lo mismo, yo intente eliminar la cuenta que creó otra persona con mi correo y al parecer esta personas la recupera y sigue publicando en un instagram creado con mi correo. Que hago?
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarA mi me ha pasado que al intentar crearme una cuenta de instagram me dice que mi correo ya esta usado, al intentar recuperar la contraseña me dice que el correo electrónico que he introducido no coincide con ninguna cuenta y al intentar iniciar sesion con una contraseña que uso a veces me dice que mi cuenta se ha desactivado porque infringe sus condiciones con este enlace ``http://instagram.com/about/legal/terms/ (403) (/accounts/login/ajax/)´´
ResponderEliminar