LA CUENTA DE LA MINISTRA BULLRICH FUE HACKEADA HOY. EN ESTA NOTA TE CONTAMOS SI ES TAN FÁCIL ACCEDER A UN PERFIL DE TWITTER AJENO Y CÓMO EVITARLO.

¿Qué tan fácil es hackear la cuenta de Twitter de Patricia Bullrich?

En el día de hoy, la cuenta de Twitter de la ministra de Seguridad de la Nación, Patricia Bullrich, fue hackeada. En el perfil de Bullrich aparecieron posteos anunciando su renuncia y luego atacando al presidente Macri. ¿Es tan fácil el hackeo en Twitter, más teniendo en cuenta que le ha pasado a usuarios como Mark Zuckerberg, creador de Facebook, y hasta al creador de la red social del pajarito, Jack Dorsey?

Depende, básicamente, de cómo use el usuario su cuenta. Hay dos maneras de llevarlo a cabo: de manera directa a las cuentas, o de forma indirecta. Entre los ataques directos, el más obvio es el que se conoce como “fuerza bruta”. Lo que se hace es intentar diferentes combinaciones de contraseñas con una clave generada cada cierto tiempo. Teóricamente, de esta manera puede vulnerarse una cuenta en horas o, a lo sumo, días. Algunas redes sociales, entre las que se cuenta Twitter, bloquea el acceso a la cuenta luego del tercer o cuarto intento fallido, lo que retrasa el intento mediante este método. Otra forma de hackear una cuenta es a través de la instalación de lo “keylogger”: un virus que recoge toda la actividad en el teclado y la almacena en un archivo de texto oculto. Si el hacker logró instalar uno de estos programas de forma remota, luego lo único que tiene que hacer es leer el archivo oculto para deducir cuando el usuario tipeo la clave (usualmente, luego de entrar a www.twitter.com, claro).

Mientras tanto, el ataque indirecto más común es hackear un programa que tiene acceso a la cuenta de Twitter en cuestión, cómo una App que informa quien dejo de seguir a un usuario determinado. Otra forma es acceder a la cuenta de mail del usuario mediante ingeniería social. Si esa cuenta de mail es la que se utilizó para abrir la cuenta de Twitter, lo único que necesita el hacker es “pedirle” a la red social que envié el link para restablecer la contraseña “olvidada” y voilà.

Sebastian Stranieri, CEO de VU, empresa especializada en Ciberseguridad, consultado por Infotecnology.com indica que hay una única manera de explicar el hackeo: “Es simple. Si se trata de una cuenta verificada en general tiene segundo factor de verificación habilitado, eso quiere decir que le tiene que llegar un código dinámico, ya sea a su teléfono, o a su email. Tenés  ahí un punto de acceso al tipo de dispositivo que esté usando. Eso quiere decir que el atacante debería tener acceso o al teléfono o al email, o al computador de la persona.  Diría casi con un 99,9% de certeza, el que  accedió a esa cuenta es del círculo íntimo de esa persona o accede a su informacion confidencial de esa persona. No existen herramientas que adivinen la clave de Twitter. Hoy por hoy pones mal una clave  3 veces y automáticamente la red social te notifica.

Twitter, para evitar estos inconvenientes, recomienda tomar las siguientes medidas de seguridad: 1) cambiar la contraseña de manera periódica; 2) revisar la seguridad de la cuenta de mail con la que se registró el usuario en la red social; 3) desconectar las aplicaciones de terceros y actualizar las contraseñas de las cuentas vinculadas al perfil de la plataforma.

Para evitarlo se recomienda utilizar contraseñas robustas, evitar accesos en redes públicas “no seguras”, mantener “seguro” los dispositivos empleados para dichos accesos, estar atentos a los correos fraudulentos (phishing), tener en cuenta la seguridad de la cuenta de correo que se usa para recuperar la contraseña, utilizar las herramientas propias de la plataforma (login verification y password reset) para minimizar riesgos de accesos no autorizados, entre otros aspectos, sostiene Rodrigo Montenego, director de BTR Consulting.

Desde la firma ESET, a propósito del hackeo a la ministra, recomiendan ser escéptico y evitar a los extraños. O sea, si alguien ofrece un nuevo smartphone o computadora a cambio de información sensible “como fecha o lugar de nacimiento, documento o teléfono, es probable que sea una trampa”. Y agregan: “Hay que recordar que los engaños en la Web pueden presentarse en múltiples formas y se valen de la Ingeniería Social para atrapar víctimas. Es importante mantener los datos sensibles en privado y, antes de proporcionarlos en algún sitio o participar de sorteos y concursos, verificar su autenticidad”.

Stranieri desarrolla que, al tratarse de una cuenta gubernamental, deberían existir un mayor número de medidas de seguridad. “En el área gubernamental y al nivel de un presidente o ministros, la forma de proceder es totalmente distinto de como procedemos en nuestro hogar. Cualquier usuario normal se puede proteger agregándole un segundo factor de seguridad a su cuenta, poniéndole una clave compleja y no usando su cuenta de redes sociales en una computadora de uso común”, comenta. Además, los equipos que se usan para ingresar a las redes sociales “deben estar auditados y con la certificación de software necesarios para asegurarse que no hay ninguna vulnerabilidad”.

Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET América latina, explica: “Sin lugar a dudas los políticos se han convertido en un blanco atractivo de ataques hacktivistas. Si bien este tipo de ataques no suelen representar una ganancia económica para quien está detrás del ataque, si lo pueden utilizar para expresar sus posiciones frente alguna situación particular del país. En estos casos el uso inadecuado de la tecnología es lo que suele permitir que estos incidentes se lleven a cabo: uso de contraseñas débiles, no utilizar doble factor de autenticación en las cuentas o incluso la pérdida del dispositivo móvil desde donde se accede a las cuentas de redes sociales, si es que estos dispositivos no se protegen de forma adecuada con una contraseña robusta. También podría ser que los atacantes lograrán infectar algunos de los dispositivos con un código malicioso y tomar el control del mismo y así ingresar a la cuentas del usuario afectado. Este último escenario es el menos probable, y lo más factible es que este tipo de ataques sean a través de ingeniería social o de aprovechar debilidades en el uso de contraseñas”.

f: Cronista