En el ámbito de las redes sociales más populares, Instagram se destaca como una de las más utilizadas hoy en día. La gran cantidad de usuarios activos la convierte en un blanco atractivo para los hackers, quienes buscan robar contraseñas y comprometer la seguridad utilizando diversas tácticas. Por esta razón, Instagram ha decidido tomar medidas serias en cuanto a la protección de sus usuarios, implementando una rotación diaria de sus certificados TLS, los cuales tienen una duración de solo una semana.
Estos son certificados digitales que permiten a los servidores de sitios web establecer conexiones seguras y cifradas cuando los usuarios acceden a través de sus navegadores. Gracias a esto, los datos transmitidos están protegidos contra posibles intrusos. Un certificado TLS contiene información sobre el sitio web, la clave pública del servidor y la firma digital de la entidad certificadora, funcionando como un mecanismo de identificación y verificación.
Rotación continua de certificados TLS en Instagram
Los certificados TLS pueden tener una duración que supera un año, siendo comunes aquellos que duran 30, 60 o 90 días. Sin embargo, lo que hace Instagram es realmente singular. Según un estudio realizado por Hereket, expertos en ciberseguridad, no importa cuándo se verifiquen los certificados TLS de Instagram, ya que siempre indicarán que quedan aproximadamente ocho días para su vencimiento.
Esto no solo indica que Instagram utiliza certificados TLS de corta duración en comparación con los habituales de 60, 90 días o más de un año, sino que los renueva a diario. Esta rotación diaria es inusual y contribuye significativamente a mejorar la seguridad.
Para comprobar esta información, el equipo de Hereket desarrolló un script que descarga y analiza los certificados de Instagram cada cinco minutos. Cada certificado obtenido ha sido almacenado y procesado para llevar un seguimiento detallado de los cambios y los periodos de validez a lo largo del tiempo.
Durante un mes, el sistema de monitoreo recopiló datos de 20 certificados por dominio, y los resultados confirmaron la rotación diaria. De hecho, se observó que en ocasiones Instagram cambia sus certificados TLS hasta dos veces al día. Cada nuevo certificado tiene una validez de poco más de ocho días y se reemplaza cuando queda poco más de una semana para su vencimiento.
Razones para mejorar la seguridad
Pero, ¿qué hace que esto sea tan relevante en términos de seguridad? Este enfoque ayuda a minimizar el riesgo de que las claves sean comprometidas. Asimismo, reduce la probabilidad de sufrir ataques Man in the Middle, que consisten en la interceptación de datos. Al limitar la duración de los certificados, se disminuye la posibilidad de que sean vulnerables.
Si un atacante llega a robar un certificado TLS, solo podrá utilizarlo durante un periodo más corto. Cuanto más tiempo tenga para usarlo, mayor será su capacidad para hacerse pasar por la víctima. Así, se limita notablemente el daño potencial a la seguridad.
Es importante destacar que la tendencia general es reducir la duración de los certificados TLS. Hasta 2020, el límite era de 825 días, luego se redujo a 397. Sin embargo, hace poco, CA/B Forum, un grupo de entidades certificadoras, anunció que a partir del 15 de marzo de 2029, el límite máximo de validez de los certificados TLS será de 47 días.
De esta manera, hemos pasado de certificados TLS con una duración máxima de más de dos años a un límite de poco más de un mes y medio en los próximos años. No obstante, Instagram se anticipa a esta tendencia, rotando sus certificados diariamente y mejorando así su seguridad.
Preguntas frecuentes
¿Cómo puedo proteger mi cuenta de Instagram contra robos?
Es fundamental utilizar una contraseña robusta y activar la autenticación en dos pasos. Además, asegúrate de mantener todo actualizado e instalar solo software oficial.
¿Afecta de alguna manera el cambio constante de certificados TLS en Instagram?
No, como usuario no experimentarás ningún cambio. No notarás alteraciones en la aplicación ni deberás realizar ajustes. Simplemente representa una capa adicional de seguridad.
