El hackeo a la AP: pishing y malas prácticas

Hace poco les contábamos acerca del hack que sufrió la cuenta oficial de la AP. Más allá de sus efectos y connotaciones sociales y políticas, quedamos pendientes en explicar cómo fue la hackeada en sí.

Este ataque puso en entredicho una vez más la ya dudosa reputación de Twitter en materia de seguridad. Los constantes ataques exitosos a cuentas de alto perfil no se detienen, y de hecho parecen más frecuentes últimamente, sin que Twitter haga algo al respecto, o eso parece. Sin embargo, en este caso en específico, puede que la culpa recaiga sobre un empleado de la AP, ya que el ataque se hizo a través de la modalidad de pishing.

El Phishing es un delito que se comete mediante el uso de ingeniería social. El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. De este modo genera confianza en la víctima y facilita el acceso a su cuenta, en este caso la de Twitter:

TwitterPhishing21

Ejemplo clásico de pishing. Especial atención al URL fraudulento.

A partir de este punto, la víctima ingresa sus credenciales, las cuales son recibidas por el pisher. Para una compañía de la magnitud de Twitter, controlar esta clase de situaciones está más allá de su alcance, y en un mundo ideal en lugar de culpar a Twitter se culparía la *cof cof* ineptitud *cof cof* del personaje que hizo click en el enlace y además se loggeó en esta página falsa, y también a la organización que proclamó la autoría de este crimen, el SEA (siglas del Syrian Electronic Army) quienes se encuentran detrás de  otras falsas noticias como la dudosa sexualidad de la sensación pop del momento.

¿Qué puede hacer Twitter entonces? actualmente basan su verificación de cuentas en el protocolo OAuth para móviles y web, además de un cifrado SSL standard, protocolos perfectamente funcionales y seguros siempre y cuando tus usuarios no sean completamente incompetentes. La idea es implementar un sistema de confirmación de 2 pasos.

Google y Microsoft ya han implementado este sistema, que envía un mensaje de texto al teléfono móvil de los usuarios con una clave que permite confirmar su conexión en caso de que accedan a sus cuentas desde equipos o direcciones IP desconocidas. Facebook también cuenta con un servicio similar, pero que funciona solamente por medio de un mail que es enviado a los usuarios.

Sin embargo, todo esto seguirá siendo inútil si los usuarios no se educan en buenas prácticas de seguridad. Usar el sentido común (tristemente escaso) es el primer y mejor protocolo de seguridad.

Anuncios