¿Qué tan sencillo es acceder a la cuenta de Twitter de alguien? Todo depende del manejo que el usuario originalmente le dé a su cuenta. Foto referencial: Free Great Picture
En los últimos días se registró, en Ecuador, un mal uso de cuentas de Twitter de varios políticos, desde las cuales se atacaba con publicaciones a otros candidatos.
¿Qué tan sencillo es acceder a la cuenta de Twitter de alguien? Todo depende del manejo que el usuario originalmente le dé a su cuenta.
Hay ataques directos, que van directo contra las cuentas de redes sociales, y ataques indirectos, que buscan caminos alternos para llegar a su objetivo.
Dentro de los ataques directos, tal vez el más conocido es la intrusión por ‘fuerza bruta’. Mediante este método, lo que se hace es utilizar un programa que intente diferentes combinaciones de contraseñas, intentando ingresar a la red social con una clave diferente generada cada cierto tiempo. Usualmente, la generación de contraseñas para este método toma segundos, y una cuenta teóricamente podría ser vulnerada en cuestión de horas o días.
Algunas redes sociales como Twitter o Facebook logran evitar esto con un método relativamente sencillo: al tercer o cuarto intento fallido, bloquean automáticamente la posibilidad de acceder a la cuenta por una hora. Así se evita la repetición constante y automática que usan los programas de ‘fuerza bruta’.
Otra forma de ataque común es la instalación de un ‘keylogger’ en el computador personal de los usuarios. Se trata de un programa malicioso que recoge toda la actividad de un teclado y la almacena en un archivo de texto oculto dentro del computador.
Quien ha logrado ‘hackear’ un computador para instalar remotamente uno de estos programas, puede acceder también a la información del ‘log’ o bitácora del teclado. Luego es solo cuestión de buscar signos como la ‘@’ o las direcciones web de las redes sociales (www.twitter.com, www.facebook.com, etc.) y revisar qué se ha escrito después de digitar el acceso a esas páginas (usualmente suele ser el nombre de usuario y la contraseña).
Al no lograr un ataque directo, se puede recurrir a ataques indirectos. Aunque la seguridad de los servidores de estas redes sociales suele ser bastante alta, ambos servicios permiten la interacción con diferentes aplicaciones que tienen varios usos, desde manejar remotamente las cuentas e información de las mismas hasta para informar quién ha dejado de seguir a alguien.
En algunos casos, cuando han ocurrido filtraciones masivas de información, los ‘hackers’ han logrado vulnerar los servidores de las aplicaciones o servicios que interactúan con Twitter o Facebook, mas no necesariamente los servidores de dichas redes sociales.
Sin embargo, en ocasiones, no es necesario realizar un ataque, sino acceder a la información por los puntos más vulnerables.
Paradójicamente, uno de los puntos más vulnerables suele ser el correo electrónico. Muchos usuarios utilizan cuentas de correo de servicios gratuitos (Outlook, Gmail, etc.) para acceder a sus cuentas. Y aunque los servidores de correo electrónico de estos servicios suelen ser muy robustos, hay métodos de ingeniería social que pueden utilizarse para vulnerar las cuentas.
Dicho de otro modo: puede ser relativamente sencillo acceder a una cuenta de correo electrónico mediante la opción de ‘he olvidado mi contraseña’; no se requiere de un hacker para hacerlo.
Una vez que se tiene acceso a dicha cuenta, se puede obtener acceso a la información de acceso a las redes sociales, o incluso acceder a la opción de olvido de contraseña de la misma red social, solicitando el envío de un enlace de restablecimiento de contraseña a la cuenta de correo electrónico ya vulnerada.
Entre las recomendaciones de seguridad de Twitter a los usuarios que tengan sospechas de un acceso fraudulento a sus cuentas, se da consejos justamente para mitigar este tipo de ataques.
Las recomendaciones de Twitter al respecto son 4: 1) Cambiar la contraseña; 2) Revisar la seguridad de la cuenta de correo electrónico vinculada a la cuenta; 3) Revocar las conexiones de las aplicaciones de terceros; y 4) Actualizar las contraseñas de las aplicaciones vinculadas a las cuentas.
Esta red social también tiene una ‘página de ayuda para un tuiteo seguro’ , en la que se dan varios consejos de seguridad sobre la seguridad de las contraseñas o instrucciones para usar la verificación de inicio de sesión a las cuentas.