El teclear contraseñas se va a acabar… pero no tan rápido

“Última hora: dos explosiones en la Casa Blanca y el presidente Obama está herido”. No hicieron falta 140, ni siquiera la mitad. Estos 60 caracteres (o más bien 69, en su idioma original, el inglés) fueron suficientes para causar el desconcierto en la red social del pajarito azul y el pánico entre los inversores de Wall Street, que provocaron el patinazo del Dow Jones en 143 puntos, el descontrol del índice medidor del riesgo VIX un 9% y la caída de la cotización del dólar frente al yen. Todo en cuestión de segundos. Y es que, a pesar de que Associated Press tardó muy poco tiempo en reaccionar, eliminando la fuente de tal alboroto y abriendo una investigación sobre el asunto, el hackeo del pasado martes a su cuenta ha dejado varias cosas claras más allá de las implicaciones políticas del grupo que ha reivindicado la acción, el Ejército Electrónico Sirio favorable al presidente Bachar el Assad.

En primer lugar, pone de relieve el papel de las redes sociales a la hora de transmitir información, la importancia de la inmediatez en la era de Internet y la dificultad creciente para discernir entre noticia y bulo. O, en este caso, trampa. También evidencia la delicada situación emocional que atraviesa Estados Unidos tras el atentado en el transcurso del maratón de Boston, la espectacular persecución de los sospechosos y los envíos de cartas con ricino a la atención del senador republicano Roger Wicker y del propio Obama. Pero, muy especialmente, prueba la fragilidad de las cuentas online frente a la frenética actividad de los ciberdelincuentes. Por mucho que parecen mejorar las medidas de control en servicios de Internet y se agudiza el ojo (siempre) vigilante de los expertos en seguridad, más sofisticadas se vuelven las técnicas de ataque.

¿Cómo se perpetró el secuestro de la cuenta de AP? A través de “spear phishing”. El spear phishing suele consistir en el envío de mensajes a un único usuario o a un departamento muy concreto dentro de una organización, tomando la posición de un emisor de confianza que solicita información altamente sensible como pueden ser las credenciales de usuario. A menudo el autor del correo se hace pasar por la división de recursos humanos o de soporte técnico de una compañía para ganarse a su víctima. En otras ocasiones, este tipo de ataque solicita simple y llanamente que se haga clic en un enlace adjunto que, una vez activado y sin que el receptor pueda saberlo, despliega malware capaz de robar datos del equipo infectado o bien redirige a sitios falsos. Esto es lo que le ocurrió a un empleado de la conocida agencia de noticias, que acabó pulsando sobre un link a una presunta información de alcance publicada por el Washington Post supuestamente alentado por un compañero de trabajo.

La verificación en dos pasos

Por supuesto ésta no es la primera vez que alguien cae en un trampa de tales características, como tampoco es novedad que el control de la plataforma social de un medio de comunicación con millones de seguidores acabe en administradores ajenos. De hecho, durante las últimas semanas las cuentas de Twitter de otros medios con miles y miles de seguidores, como la radio NPR y la cadena de televisión CBS, han sido pirateadas. Pero el caso sí ha sido lo bastante sonado como para que la red de microblogging se replantee su política de seguridad al más puro estilo Apple, que se hizo un poco más de rogar pero ha acabado implementando un sistema de verificación en dos pasos para acceder a iCloud después de que el periodista Mat Honan perdiese su vida online a manos de hackers que eliminaron sus datos de forma remota de todos sus dispositivos: iPhone, iPad y MacBook.

Ahora la compañía de Jack Dorsey, está realizando algunas pruebas internas con su propio servicio de verificación o autenticación de dos factores antes de ponerlo a disposición de sus usuarios, algo que espera poder anunciar en breve. Aunque no está muy claro cuándo o cómo, el cambio se antoja necesario para evitar el fraude y proteger a la creciente comunidad de tuiteros con carácter de urgencia, especialmente a aquellos de alto perfil como AP o personajes influyentes en la red por diversas razones como Obama, Oprah Winfrey, Cristiano Ronaldo o Justin Bieber, cuya suplantación es de lo más apetecible para los cibercacos. Al menos mientras no se logren desarrollos consistentes en el campo de la investigación y se puedan implementar de manera masiva contraseñas innovadoras. Esto es, sustitutos como las joyas inteligentes o los sensores de huellas dactilares de los que os hablábamos hace unas semanas en este otro artículo.

La verificación en dos pasos es, al mismo tiempo, una solución segura y cómoda para los internautas. Su existencia no significa que una cuenta vaya a estar al 100% libre de peligros, pero sí que vuelve mucho más complicado que una tercera persona obtenga acceso a la misma. ¿Cómo? Obligando a los dueños legítimos a proporcionar dos piezas de información distintas para cerciorar su personalidad. De este modo, cada vez que el usuario desea acceder a su cuenta desde una conexión no segura o un equipo diferente al habitual, el sistema le pedirá que introduzca su contraseña más un código adicional generado al azar. Este último es enviado a través de un mensaje de texto a su teléfono o mediante una aplicación móvil, entre dos de las posibilidades más extendidas actualmente, lo que minimiza los riesgos de suplantación de identidad.

Además de Twitter y Apple, otras compañías como el gigante del software Microsoft, la plataforma de almacenamiento en la nube Dropbox y la desarrolladora de blocs de notas Evernote han ido sumándose a esta iniciativa o están estudiando seriamente su adopción. Por su parte, Google lleva un tiempo recurriendo a esta táctica para su servicio de correo Gmail con resultados satisfactorios. Todo lo que requieren los usuarios para ganar acceso a sus cuentas son dos dos cosas: algo que está en su mente (la contraseña base) y algo que tienen en sus manos (un dispositivo con el que se hayan registrado previamente o, en su defecto, un smartphone para recibir el código). Y lo que necesitan los ciberdelincuentes para cometer sus fechorías se vuelve más utópico. Pero no imposible.

Ya hay quien señala que los equipos pueden ser robados o que las personas seguirán cayendo en campañas de ingeniería social y phishing, que son capaces de marear a propios y extraños hasta hacerles “cantar” las claves de acceso oficiales y las combinaciones de seguridad adicionales. También se advierten los riegos de compartir credenciales para una misma cuenta corporativa entre varios compañeros, porque se desvanecen los límites de control. O el de no cerrar sesión al terminar de revisar el estado de una cuenta. Para evitar sustos, como siempre, es esencial emplear el sentido común y extremar las preocupaciones de seguridad, utilizar “passwords” que combinen largas series de números y letras, desconfiar de mensajes que solicitan la comunicación de datos personales, evitar clicar en enlaces sospechosos, ignorar a usuarios desconocidos y educar a las personas más despreocupadas en estos temas.