Una aplicación de terceros consigue hacerse con cientos de miles de cuentas de usuarios de la red social Instagram y suplantar su identidad al publicar en su nombre. Se trata de un cliente o aplicación de gestión de Instagram creada por un tercero y que ha logrado más de medio millón de descargas tanto en App Store como en Google Play Store, consiguiendo así ser una de las herramientas de malware más virales que se ha colado en las principales tiendas de aplicaciones.
Su nombre es InstaAgent, y ha llegado a manos de miles de usuarios al prometer ofrecer datos sobre quién ha visto o no las fotos de Instagram del usuario. Algo bastante tentador para saber quién merodea el perfil del usuario sin dar un Me Gusta a las fotos y, por tanto, sin dejar huella de su paso. Ahora bien, la realidad es muy distinta, dedicándose a cosechar cuentas de usuario y contraseñas de todos aquellos que la utilizaban, e incluso publicando en su nombre (y sin ningún tipo de permiso) fotografías a través de los diferentes perfiles infectados. Cuestión que ha disparado todas las alarmas.
Así, InstaAgent, que ha conseguido situarse esta misma semana entre las aplicaciones más descargas de la App Store de Apple, requería los datos de la cuenta de usuario de Instagram para poder conocer todas estas personas que han pasado supuestamente por su perfil. Un listado que poco o nada tenía que ver con la realidad, y que en realidad escondía una misión mucho más siniestra. Ha sido un desarrollador quien ha investigado la aplicación descubriendo que, una vez recopilados todos estos datos, eran enviados sin encriptar (sin proteger) a un servidor, donde han sido almacenados y utilizados.
Algunos usuarios también se han percatado de este hecho al descubrir fotografías publicitarias en sus propias cuentas que ellos no han publicado. Publicidad que la aplicación InstaAgent introducía sin ningún tipo de permiso, repitiéndose en muchos de los casos de las cuentas afectadas.
Google no ha tardado en eliminar la aplicación de Google Play Store tras descubrirse el hecho. Y Apple ha tardado poco más en hacer lo propio. Sin embargo, no hay que olvidar que estas compañías comprueban las aplicaciones que ponen a disposición de los usuarios de sus respectivas plataformas, Android e iOS. Lo que significa que existe un importante problema de seguridad si una aplicación con permisos para publicar en nombre del usuario (ocultos, por supuesto) se cuela en sus tiendas y consigue hacerse viral, afectando a cientos de miles de usuarios de todo el mundo, e incluso logrando alcanzar los primeros puestos de las listas de aplicaciones más descargadas.
Ante esta situación, y si se es uno de los usuarios afectados, lo más recomendable es acceder a la red social Instagram a través de su versión web, y revocar los permisos para la aplicación InstaAgent desde el menú Gestión de aplicaciones. Además de esto, es imperativo modificar la contraseña de la cuenta y crear una totalmente nueva para evitar que otra persona o virus utilice los datos recolectados para seguir publicando en su nombre. Y, por supuesto, deshacerse de la aplicación InstaAgent.