Famosos, comediantes, deportistas y periodistas se encuentran entre los titulares de las cuentas de Twitter que han sido recientemente comprometidas, manipuladas e invadidas con contenido porno. ¿Qué pueden hacer lo usuarios para evitar que esto suceda?
Más de 2.500 cuentas han sido tomadas en los últimos días por bots que publican mensajes de servicios de citas y contenido eróticos.
Una de las paradojas de este cibersecuestro es que muchas de ellas están verificadas por Twitter -llevan una pequeña insignia azul al lado del nombre de usuario--; La empresa concede este estatus para garantizar la autenticidad de la identidad de individuos, organizaciones y marcas que tienen cuenta en el servicio, especialmente cuando existe riesgo de suplantación.
Tal y como adelantábamos, una de las cuentas hackeadas más conocidas en España corresponde a Ignacio Escolar, director de eldiario.es. "Me he asustado bastante, me llamaron a las 7:00 de la mañana diciéndome que estaba publicando porno y enseguida cambie la contraseña de mi cuenta y desvinculé todas las aplicaciones, como Facebook, por precaución", comenta el periodista a EL ESPAÑOL.
La cautela llevó también al periodista a borrar "todo los mensajes directos" de su cuenta, "más que nada por precaución y por una posible revelación de fuentes", comenta. Y revela un detalle importante: Escolar cambia su contraseña frecuentemente. "La última vez que lo hice fue hace menos de tres meses", asegura.
Lo siguiente que hizo Escolar fue instalar la verificación en dos pasos, que consiste en vincular la contraseña a un código enviado por SMS al teléfono del propietario, una de las medidas más eficaces contra este tipo de suplantaciones.
La intrusión en estos perfiles parece otorgar a los hackers un control total de los mismos, dado que las cuentas comprometidas vieron también cómo se cambiaba la imagen de usuario, algo que sólo se puede hacer mediante el uso de la contraseña correcta. No obstante, en estos casos los tuits históricos, la ubicación, la URL de las cuentas y la imagen de cabecera permanecieron intactos.
Desde la compañía de seguridad informática Symantec, Satnam Narang, informaba hace dos días del secuestro de estas cuentas, que han sufrido otros perfiles verificados como los de la banda electropunk Chromeo, el comediante Azeem Banatwala, el deportista estrella Cecil Shorts e incluso el fallecido columnista del New York Times David Carr, hace unos días. En esas cuentas aparecieron mensajes eróticos y de servicios de citas, cada uno con un enlace a sitios de citas sexuales entre adultos.
Según Narang, la cuenta comprometida más antigua se registró en diciembre de 2007. Uno de cada cuatro perfiles fue creado en 2011, y el 73% restante tiene cuatro años o más de antigüedad.
Ignacio Escolar comenta a EL ESPAÑOL que la dirección IP del sitio al que apuntaba el enlace de sus tuits hackeados, concretamente uno colgado a las 6:00 horas de esta mañana, era holandesa, pero reconoce que "puede que los atacantes usaran un proxy" o servicio de redirección web.
Bromas -y sustos- aparte, aquí van cinco recomendaciones básicas para evitar que estos secuestros de cuentas se puedan volver a repetir:
1. Usa siempre una contraseña robusta y única para cada cuenta: a menudo, las intrusiones se producen por culpa de contraseñas obvias o reutilizadas en otros servicios, como Facebook o el propio correo electrónico. Y cambia la contraseña con cierta frecuencia: tus claves son mercancía para los ciberintrusos, y a menudo se encuentran en bases de datos robadas hace tiempo. Aunque en el caso de Ignacio Escolar, como él mismo cuenta, no sirvió de mucho.
2. Usa un gestor de contraseñas sólo en el caso de que haya que almacenar muchas de ellas y todas diferentes. Es una buena forma de no olvidarlas. Existen muchos servicios de este tipo, como LastPass, 1Password, Dashlane, KeePass, Password Safe y Norton Identity Safe. Algunos son de pago.
3. Ojo con las aplicaciones de terceros que instalas y que piden acceso a tu cuenta. Lee siempre con atención los permisos que solicitan y no las aceptes si te suscitan la más mínima duda.
4. Instalar la verificación en dos pasos de Twitter es buena idea: en lugar de depender de sólo una contraseña, para iniciar la sesión es necesario introducir un código que se envía a tu teléfono móvil. Esto añade un nivel adicional de seguridad y ayuda a prevenir el acceso no autorizado a tu cuenta.
5. En cualquier caso, es importante que el afectado por una ciberintrusión informe inmediatamente a Twitter.