Seguro ya oyó, leyó y escuchó sobre el ataque que vivió Twitter el día de ayer y por medio del cual algunas de las cuentas con más followers e influencia en la red social, como las de Elon Musk, Bill Gates y Barack Obama, entre muchas otras, terminaron posteando un mensaje como este:
Un mensaje que llevó a que más de un incauto cayera en la trampa y le generara a los fascinerosos responsables del hackeo al menos USD 120.000 en ganancias.
Ahora bien, más allá de la plata el ataque ha demostrado -otra vez- que no hay plataforma 100% segura y que es cuestión de tiempo para que los ciberdelincuentes encuentren como vulnerar la seguridad cualquier sistema.
Lección #1 – La seguridad de sus cuentas no sólo depende de usted
Aunque por ahora no tenemos claridad de los modus operandi bajo el cual los hackers llevaron a acabo el ataque, todo parece indicar que el mismo se dio a Twitter a través de un proceso de ingeniería social a uno de sus empleados y no a los dueños de las cuentas afectadas, muchos de los cuales tienen incluso activado el sistema de doble autenticación de forma (2-factor authentication), que me imagino usted tiene activo para TODOS los servicios digitales que tiene, ¿cierto?
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Es decir, los hackers en este caso obtuvieron acceso a la plataforma de administración de Twitter y a través de ellas vulneraron las cuentas de esos famosos. ¿Hasta donde? No sabemos. No sabemos si obtuvieron acceso a la información privada de las cuentas (mensajes directos, claves, etc) o si sólo fue acceso a lo que estas pueden postear.
Lección #2 – No reutilice credenciales
Si el hacker tiene acceso a sus credenciales (login y password) en un sistema y usted “recicla” y reutiliza esas mismas credenciales en otros sistemas, usted pone en riesgo toda su identidad digital. En este caso, por lo vistoso del ataque, todos supimos que Twitter fue hackeado. Pero, ¿cuántos casos ha habido de fugas de datos en los que los usuarios finales o no se enteran que sus credenciales fueron robadas o se enteran años después?
Lección #3 – No crea todo lo que lee en Internet
Esto no deberíamos tener que recordarlo y menos después de todo lo que ha pasado. Pero no todo lo que usted lee, oye o ve en internet es cierto. Y menos si le están ofreciendo un negocio hiper-mega-ultra-rentable.
Lo pero de todo es que cada vez será peor y más díficil discernir entre lo real y lo falso “gracias” a la aplicación de tecnologías como el machine learning y la inteligencia artificial en el proceso de creación de noticias falsas (mañana les cuento más del tema).
Antes de compartir, antes de responder, antes de darle like a un post en Facebook, a un Twit, a un artículo en línea, a un correo eléctronico o a un contenido que recibió por WhatsApp, PARE – ANALICE – LEA. Pare. Dése unos minutos para entender el contexto en el que lo está viendo. Analice el contenido, mire su fecha, la fuente, su procedencia y los destinatarios. Lea el contenido, no se quede sólo en el título.
Repercusión #4 (actualizada) – No use herramientas que no tengan cifra de extremo a extremo para sus conversaciones privadas
Este sábado Twitter confirmó que los atacantes descargaron la información de varias de las cuentas afectadas utilizando la opción de “Your Twitter Data”.
For up to eight of the Twitter accounts involved, the attackers took the additional step of downloading the account’s information through our “Your Twitter Data” tool. We are reaching out directly to any account owner where we know this to be true.
— Twitter Support (@TwitterSupport) July 18, 2020
Esto incluye no sólo los DMs actuales sino aquellos que los usuarios ya hayan borrado. ¿Cómo? porque los mensajes que usted envía y recibe a través de la plataforma no están encriptados end-to-end y porque Twitter guarda una copia de los mismos.
La lección más importante, en este caso, parece ser la de no enviar mensajes personales o privados utilizando herramientas que guarden esa información en servidores centralizados y que no encripten las mismas con llaves que sólo los destinatarios de la conversación tengan. Aplicaciones como iMessage, WhatsApp o Telegram. Por lo menos si no quiere que esos mensajes caigan en las manos de un tercero.
Ahora pensemos, por un momento, en las repercusiones que este ataque puede tener:
Repercusión #1 – Todo se podrá negar
La primera -y tal vez la más grave- repercusión es que luego de esto cualquiera podrá negar la autoría de lo aparezca en su timeline. Políticos, artistas, personajes influyentes y la gente del común podrá decir que así como en la cuenta del expresidente Obama apareció un post “regalando” bitcoins, eso que aparece en su cuenta (y de lo que ahora se arrepiente) fue puesto por alguien más.
Repercusión #2 – ¿El fin del mundo?
La verdad es que “nos salvamos” y en medio de todo este hackeo fue inofensivo para la humanidad. Pero, ¿se imagina lo que hubiera pasado si en vez de robarse unos bitcoins este ataque hubiera generado mensajes bélicos de dirigentes políticos que hubieran incitado a un escalamiento armado entre naciones? ¿o de pronto que hubiera movilizado -como pasó la semana pasada- guerrillas urbanas? ¿Qué tal si una cadena de mensajes coordinados de este tipo terminan generando pánico financiero?
En la medida que usamos más las redes sociales como mecanismos formales de comunicación nos rebajamos a los controles, a la inmediatez y a la ligereza de las plataformas. Y eso puede tener consecuencias funestas.
Para la mayoría de nosotros este ataque no es más que una anécdota que no nos afecta directamente pero sabiendo que existen este tipo de fallas y que es posible para alguien tomar control de la herramienta, de la plataforma y de lo que aparece en las cuentas de hasta los más poderosos, todos debemos estar preocupados.