Detectan una vulnerabilidad que permite el acceso a historias privadas de Instagram y Facebook luego de su expiración

Las fotos y videos publicados por usuarios en sus cuentas de Instagram y Facebook no son tan privadas como parecen, según pruebas realizadas por un grupo de trabajo de BuzzFeed. El equipo descubrió que los amigos y seguidores de una persona pueden acceder a sus imágenes, descargarlas, y distribuirlas públicamente mediante una metodología relativamente sencilla.

La vulnerabilidad, que también funciona en las historias de Instagram, sólo requiere una comprensión rudimentaria de HTML y un navegador web. Tras hacer click derecho en una imagen, un usuario puede simplemente "inspeccionar" la foto o video publicado en el sitios y luego extraer la URL fuente asignada al archivo. Esta URL pública luego puede ser compartida con personas que no están conectadas a Instagram o que no siguen a ese usuario privado.

Este método aplica satisfactoriamente a los archivos JPG y MP4 que aparecen en las historias y feeds privados, que de este modo pueden ser descargados y compartidos públicamente.

"El comportamiento descrito aquí es el mismo que el de tomar una captura de pantalla de la foto de un amigo en Facebook e Instagram y compartirla con otras personas", dijo un portavoz de Facebook a BuzzFeed News. "No le da a la gente acceso a la cuenta privada de una persona".

Sin embargo, existen diferencias sustanciales entre compartir la URL fuente de una imagen y divulgar una captura de pantalla de otra persona, según el grupo de trabajo. El primero funciona incluso cuando las imágenes y los vídeos de una historia privada de Instagram, que están destinados a durar sólo 24 horas, caducan o se eliminan. Una URL fuente puede redireccionar a una persona al contenido de una historia durante un par de días, mientras que los enlaces a fotos publicadas en el feed permanecen activos durante un período aún más largo. Lo mismo ocurre con las historias que supuestamente han expirado.

Dado que todos estos datos están alojados en la propia red de distribución de contenidos de Facebook, el método también se aplica al contenido privado publicado en Facebook. Un amigo o seguidor de un usuario puede usar una dirección de URL para compartir ese contenido con terceros que no son amigos ni seguidores del usuario. Cabe destacar que mientras Instagram rastrea quién ve su contenido en la aplicación, no rastrea quién está mirando su contenido a través de URLs públicas. Esto significa que si alguien compartiera públicamente las imágenes o vídeos privados de un usuario sin su permiso, este no tiene forma de descubrir quién lo ha hecho ni cuánta gente lo ha visto.

Este proceso difiere de tomar una captura de pantalla de una cuenta privada por dos razones principales. Por un lado, estas URLs públicas contienen información básica sobre la foto o el vídeo al que enlazan, incluyendo detalles sobre cómo se cargó y las dimensiones de la foto. Al mismo tiempo garantizan su autenticidad, ya que no se pueden falsificar. Por otro lado, las fotos y vídeos eliminados se almacenan en la red de distribución de contenidos de Facebook, la cual es accesible incluso luego de que el usuario haya tomado medidas para eliminarlos de su perfil.

El hecho de que las fotos y vídeos explícitamente designados como privados sean tan fácilmente accesibles a terceros no augura nada bueno para Facebook, sumido en una serie de escándalos en torno a su manejo de la privacidad de los usuarios. Mark Zuckerberg, fundador y director ejecutivo de la red social, prometió el año pasado construir una plataforma "con una visión centrada en la privacidad" para las redes sociales, luego de un 2018 plagado de críticas hacia su uso de los datos personales.

MÁS SOBRE ESTE TEMA: