Preguntas sin respuesta tras el ataque a Twitter
Los expertos de seguridad cuestionan entre otras cosas, por qué la red social mantiene la capacidad de los empleados de controlar cuentas de usuario.
Twitter ha sufrido el mayor fallo de su historia en forma de un ataque a cuentas de elevado perfil que ha terminado con más de 100 000 dólares estafados a usuarios de la red social y la seguridad en internet una vez más en entredicho.
También ha abierto diversos interrogantes durante los últimos días. ¿Cómo se produjo el ataque? ¿Son seguras las herramientas online? ¿Es posible defenderse de este tipo de ataques? ¿Existe la seguridad total?
“Los secuestros de cuentas en Twitter han suscitado preguntas sobre cómo le ha podido pasar algo así a la popular plataforma y quién ha podido ser el verdadero objetivo”, plantea Ben Carr, CISO de Qualys. “Muchos usuarios de plataformas de redes sociales se preguntan si sus propias cuentas están seguras”.
“La información inicial parece indicar que la brecha se basó en que un hacker utilizó la ingeniería social para obtener acceso a los sistemas internos a través de una cuenta de empleado. El hacker utilizó esta cuenta para acceder a una herramienta de administración dentro del sistema de Twitter que le permitió tomar el control de las cuentas de los usuarios y bloquearlas para que no accedieran o modificaran sus propias cuentas”, explica Carr.
“Sabemos lo que pasó” como consecuencia del ataque, “pero para responder cómo ha podido suceder, se necesitará más tiempo antes de que se puedan confirmar todos los detalles”, continúa este experto.
Algo cierto es que “son muy pocas las organizaciones que todavía operan sistemas críticos y acceden a esos sistemas sin autenticación multifactorial. Al mismo tiempo, estas organizaciones no están tomando en serio la higiene básica y están parcheando sistemas que se sabe que son vulnerables”, afea Ben Carr.
“Si los informes iniciales son ciertos, entonces también sabemos que Twitter tiene la capacidad y las herramientas para permitir que los empleados se apropien de las cuentas y emitan tweets en su nombre. Esta puede ser una de las revelaciones más preocupantes que han salido a la luz”, denuncia. “¿Por qué Twitter mantendría la capacidad de los empleados de controlar las cuentas de los usuarios y por qué tendría en plantilla a alguien que ha hecho uso de esta capacidad internamente con anterioridad?“.
Ante el planteamiento de nuevas dudas, David Higgins, director técnico de CyberArk en EMEA, va más allá del supuesto “éxito de la ingeniería social llevada a cabo por personas con información privilegiada”.
Parece que “se han usado métodos más ‘tradicionales’ para ‘comprar’ la cooperación interna y el acceso a la herramienta de administración, lo que permitió la adquisición de cuentas de perfil alto”, indica Higgings, lo que “demuestra que los hackers siempre tendrán como objetivo el acceso privilegiado y los derechos del personal interno de una organización”.
“En algunos casos esto se produce por medio de la suplantación de la identidad, pero es posible que, en este caso, veamos un ejemplo de personal interno malintencionado“, destaca el directivo de CyberArk.
“La lección que debemos aprender es que esto demuestra la importancia de utilizar fuertes controles y monitorizar a aquellos usuarios que tienen acceso privilegiado a sistemas y servicios clave. Es un claro recordatorio de por qué las redes sociales, que se han convertido en una vía de comunicación crucial, deben ser tratadas por las empresas como infraestructura crítica y aseguradas como tales”, incide.
“En este caso ha sido algo así como ‘coge el dinero y corre’, un intento de generar dinero rápidamente. Pero podría haber sido mucho peor. Por ejemplo, si hubiera ocurrido en medio de las próximas elecciones generales en EE. UU. y la cuenta de alguno de los candidatos se hubiera visto comprometida, ¿cuál podría ser el daño potencial de un solo tweet?”, cuestiona el CISO de Qualys.
“Las plataformas de redes sociales tienen una elevada responsabilidad a la hora de garantizar la seguridad del sistema para proteger la integridad del discurso”, añade Ben Carr, aunque “también es responsabilidad de todos pensar que, si algo parece demasiado bueno para ser verdad, quizá sea una trampa”.
Cadena de reacciones
Dmitry Galov, investigador de seguridad de Kaspersky, recuerda que “ningún sitio web ni software es totalmente inmune a los virus, como tampoco los humanos dejamos de cometer errores”, lo que significa que “cualquier plataforma nativa puede verse comprometida” o que “incluso las personas con conocimientos sobre tecnología pueden caer en las trampas de los estafadores”.
Además, la popularización del trabajo en remoto abre la puerta a nuevos incidentes. Liviu Arsene, investigador sénior de ciberseguridad global en Bitdefender, advierte de que “las vulnerabilidades” inherentes al “actual modelo de teletrabajo, en el que los empleados tienen más posibilidades de convertirse en víctimas de estafas y de correos electrónicos peligrosos que logran comprometer sus dispositivos y, como consecuencia, los sistemas de la empresa”.
No en vano, el componente humano sigue siendo el eslabón más débil de la cadena de seguridad. La lección aprendida es que los internautas deben tomar conciencia, aprender a reconocer las estafas y aplicar al menos la autenticación de dos factores como medida básica de protección.