“Última hora: dos explosiones en la Casa Blanca y el presidente Obama está herido”. No hicieron falta 140, ni siquiera la mitad. Estos 60 caracteres (o más bien 69, en su idioma original, el inglés) fueron suficientes para causar el desconcierto en la red social del pajarito azul y el pánico entre los inversores de Wall Street, que provocaron el patinazo del Dow Jones en 143 puntos, el descontrol del índice medidor del riesgo VIX un 9% y la caída de la cotización del dólar frente al yen. Todo en cuestión de segundos. Y es que, a pesar de que Associated Press tardó muy poco tiempo en reaccionar, eliminando la fuente de tal alboroto y abriendo una investigación sobre el asunto, el hackeo del pasado martes a su cuenta ha dejado varias cosas claras más allá de las implicaciones políticas del grupo que ha reivindicado la acción, el Ejército Electrónico Sirio favorable al presidente Bachar el Assad.
En primer lugar, pone de relieve el papel de las redes sociales a la hora de transmitir información, la importancia de la inmediatez en la era de Internet y la dificultad creciente para discernir entre noticia y bulo. O, en este caso, trampa. También evidencia la delicada situación emocional que atraviesa Estados Unidos tras el atentado en el transcurso del maratón de Boston, la espectacular persecución de los sospechosos y los envíos de cartas con ricino a la atención del senador republicano Roger Wicker y del propio Obama. Pero, muy especialmente, prueba la fragilidad de las cuentas online frente a la frenética actividad de los ciberdelincuentes. Por mucho que parecen mejorar las medidas de control en servicios de Internet y se agudiza el ojo (siempre) vigilante de los expertos en seguridad, más sofisticadas se vuelven las técnicas de ataque.
¿Cómo se perpetró el secuestro de la cuenta de AP? A través de “spear phishing”. El spear phishing suele consistir en el envío de mensajes a un único usuario o a un departamento muy concreto dentro de una organización, tomando la posición de un emisor de confianza que solicita información altamente sensible como pueden ser las credenciales de usuario. A menudo el autor del correo se hace pasar por la división de recursos humanos o de soporte técnico de una compañía para ganarse a su víctima. En otras ocasiones, este tipo de ataque solicita simple y llanamente que se haga clic en un enlace adjunto que, una vez activado y sin que el receptor pueda saberlo, despliega malware capaz de robar datos del equipo infectado o bien redirige a sitios falsos. Esto es lo que le ocurrió a un empleado de la conocida agencia de noticias, que acabó pulsando sobre un link a una presunta información de alcance publicada por el Washington Post supuestamente alentado por un compañero de trabajo.
La verificación en dos pasos
Por supuesto ésta no es la primera vez que alguien cae en un trampa de tales características, como tampoco es novedad que el control de la plataforma social de un medio de comunicación con millones de seguidores acabe en administradores ajenos. De hecho, durante las últimas semanas las cuentas de Twitter de otros medios con miles y miles de seguidores, como la radio NPR y la cadena de televisión CBS, han sido pirateadas. Pero el caso sí ha sido lo bastante sonado como para que la red de microblogging se replantee su política de seguridad al más puro estilo Apple, que se hizo un poco más de rogar pero ha acabado implementando un sistema de verificación en dos pasos para acceder a iCloud después de que el periodista Mat Honan perdiese su vida online a manos de hackers que eliminaron sus datos de forma remota de todos sus dispositivos: iPhone, iPad y MacBook.
Ahora la compañía de Jack Dorsey, está realizando algunas pruebas internas con su propio servicio de verificación o autenticación de dos factores antes de ponerlo a disposición de sus usuarios, algo que espera poder anunciar en breve. Aunque no está muy claro cuándo o cómo, el cambio se antoja necesario para evitar el fraude y proteger a la creciente comunidad de tuiteros con carácter de urgencia, especialmente a aquellos de alto perfil como AP o personajes influyentes en la red por diversas razones como Obama, Oprah Winfrey, Cristiano Ronaldo o Justin Bieber, cuya suplantación es de lo más apetecible para los cibercacos. Al menos mientras no se logren desarrollos consistentes en el campo de la investigación y se puedan implementar de manera masiva contraseñas innovadoras. Esto es, sustitutos como las joyas inteligentes o los sensores de huellas dactilares de los que os hablábamos hace unas semanas en este otro artículo.
Además de Twitter y Apple, otras compañías como el gigante del software Microsoft, la plataforma de almacenamiento en la nube Dropbox y la desarrolladora de blocs de notas Evernote han ido sumándose a esta iniciativa o están estudiando seriamente su adopción. Por su parte, Google lleva un tiempo recurriendo a esta táctica para su servicio de correo Gmail con resultados satisfactorios. Todo lo que requieren los usuarios para ganar acceso a sus cuentas son dos dos cosas: algo que está en su mente (la contraseña base) y algo que tienen en sus manos (un dispositivo con el que se hayan registrado previamente o, en su defecto, un smartphone para recibir el código). Y lo que necesitan los ciberdelincuentes para cometer sus fechorías se vuelve más utópico. Pero no imposible.
Ya hay quien señala que los equipos pueden ser robados o que las personas seguirán cayendo en campañas de ingeniería social y phishing, que son capaces de marear a propios y extraños hasta hacerles “cantar” las claves de acceso oficiales y las combinaciones de seguridad adicionales. También se advierten los riegos de compartir credenciales para una misma cuenta corporativa entre varios compañeros, porque se desvanecen los límites de control. O el de no cerrar sesión al terminar de revisar el estado de una cuenta. Para evitar sustos, como siempre, es esencial emplear el sentido común y extremar las preocupaciones de seguridad, utilizar “passwords” que combinen largas series de números y letras, desconfiar de mensajes que solicitan la comunicación de datos personales, evitar clicar en enlaces sospechosos, ignorar a usuarios desconocidos y educar a las personas más despreocupadas en estos temas.
Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…
Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…
El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…
Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…
Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…
También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…