Últimamente hemos dedicado una serie de posts a los riesgos asociados al uso de Twitter. Seguramente has observado, además, que desde hace unas semanas los medios vienen dedicando cada vez más espacio a informar sobre el fraude en redes sociales. ¿A qué se debe esta preocupación?

Parte del interés es simplemente cuestión de números: el rápido aumento de usuarios de redes sociales las ha convertido en un objetivo atractivo para delincuentes, de modo que un porcentaje considerable del fraude en internet se produce a través de las mismas.

Pero hay otra faceta del fraude en redes sociales que resulta más preocupante. Los usuarios de internet nos hemos acostumbrado a asociar los timos en internet con emails solicitando el envío de dinero, o los datos de nuestra cuenta bancaria. Hemos llegado a creer que con tal de no responder a este tipo de correos estaremos seguros.

Sin embargo, la mayoría de fraudes en redes sociales -incluyendo los repetidos ataques de phishing a Twitter en las últimas semanas- no requieren la participación del usuario, y se limitan a tratar de robar contraseñas. Aunque los usuarios no les damos demasiada importancia -al fin y al cabo, ¿qué es lo peor que podrían hacer con mi contraseña de Twitter? ¿Enviar tweets en mi nombre?-, un informe de la empresa de seguridad online Trusteer demuestra el peligro que pueden entrañar. Los datos recopilados en este informe revelan los siguiente:

1. Un 73% de internautas acceden con la misma contraseña a sus cuentas bancarias online y a al menos otra página de internet.
2. Un 50% de internautas comparten tanto el nombre de usuario como la contraseña de su cuenta bancaria con al menos otra web.

Está claro cómo estos malos hábitos pueden acarrear problemas: si nuestra contraseña de Twitter es la misma que utilizamos para acceder a nuestro banco, tarjeta de crédito, o alguna tienda online, en caso de que nos la roben nos estaremos jugando algo más que unos cuantos tweets enviados desde nuestra cuenta.

Por lo tanto, la contraseña más segura para tu cuenta Twitter no es necesariamente la más difícil de recordar -aunque evitar contraseñas demasiado obvias nunca está de más- sino, simplemente, aquélla que es específica para Twitter; que no utilizas en ninguna otra página de Internet.

Invéntate una contraseña única para Twitter, y despreocúpate de posibles ataques.

Si en el penúltimo post hablábamos de los riesgos (directos) asociados a la utilización de Twitter, hoy les toca el turno a los riesgos indirectos.

Mientras que los riesgos directos, tal y como indica su nombre, están asociados al uso directo de Twitter, los riesgos indirectos son aquéllos asociados al uso de aplicaciones para Twitter.

Los usuarios de Twitter utilizamos diariamente cientos de aplicaciones destinadas a mejorar nuestra experiencia en la red social. Existen aplicaciones, casi siempre diseñadas por programadores ajenos a Twitter, para conectarnos desde el móvil, recibir alertas cada vez que alguien menciona el nombre de nuestro negocio, organizar a nuestros seguidos en listas separadas según sean compañeros de trabajo o familia, y muchas cosas más.

La integración entre algunas aplicaciones y nuestra cuenta de Twitter es tal que a menudo ni siquiera necesitamos visitar la página principal de Twitter para conectarnos (por ejemplo, si lo hacemos a través de TweetDeck o similar). Pero no debemos olvidar que ninguna de estas aplicaciones tiene tantos usuarios y capital como Twitter, y por tanto invertirán muchos menos recursos en mejorar su seguridad.

Justamente por su mayor vulnerabilidad, los piratas informáticos eligen a menudo no atacar a Twitter directamente, sino obtener acceso a cuentas a través de aplicaciones cuyos sistemas de seguridad pueden burlar con mayor facilidad.

La semana pasada, por ejemplo, la aplicación Twitter grader, que mencionábamos hace unos días en la lista de aplicaciones para medir tu influencia en Twitter, fue pirateada y utilizada para enviar mensajes desde las cuentas de sus usuarios.

Los mensajes enviados contenían un link al dominio Seonix.org. El objetivo del ataque habría sido aumentar el tráfico a este sitio, una página web con consejos para hacer dinero registrada por primera vez el día 11 de Febrero de este año.

Afortunadamente, la página Seonix.org no contenía ningún software espía ni se utilizó para infectar con ningún tipo de virus los ordenadores de los visitantes. Además, los piratas que atacaron Twitter grader no consiguieron acceder a los detalles de las cuentas de los usuarios afectados.

El suceso demuestra, sin embargo, la vulnerabilidad de nuestra información en la red, y llevó a muchos medios a recomendar no compartir nuestra contraseña de Twitter con ninguna aplicación a la que no fiaríamos nuestro dinero.

Por suerte hay una solución menos radical para aquéllos que queremos seguir utilizando aplicaciones: dedicar una contraseña específica para Twitter, que no pueda ser empleada para acceder a ninguna otra información si nos la roban. Si todos hacemos lo mismo, quizás incluso terminemos por desmoralizar a los piratas.

Twitter es el lugar elegido por millones de usuarios para intercambiar ideas, fotos, música, y todo tipo de información. Y es justamente la convergencia de tantas personas en un mismo punto la que convierte a Twitter en objetivo de ciber-delincuentes, exponiéndonos a los usuarios a una serie de riegos de seguridad.

La mejor forma de defendernos ante los mismos es estar alerta. Por eso dedicamos este artículo a describir los principales tipos de ataques maliciosos que tienen lugar en Twitter.

1. Envío de links a páginas web peligrosas. Por la propia naturaleza de Twitter, que impide el envío de mensajes de más de 140 caracteres, muchos usuarios incluyen links como complemento al contenido de sus tweets. El uso generalizado de servicios para acortar el tamaño de los links implica que nunca sabemos con seguridad hasta hacer click en los mismos a dónde nos dirigirán. Al visitar un link enviado por un usuario al que no conocemos corremos el riesgo de terminar en una página web que instale software dañino en nuestro ordenador o lo infecte con un virus.
2. Robo de contraseña. La semana pasada fueron noticia los ataques de phishing que llevaron a Twitter a cambiar automáticamente las contraseñas de muchas cuentas. La mayoría de estos ataques consistió en el envío de mensajes directos a usuarios pidiéndoles que volviesen a conectarse a través de lo que parecía ser la página principal de Twitter. Se trataba, sin embargo, de una imitación de dicha página, diseñada para interceptar sus contraseñas.

   La razón por la que nuestra contraseña es muy valiosa para los estafadores cibernéticos es que muchos de nosotros utilizamos la misma en muchas páginas. Existen programas para introducir una contraseña robada en miles de sitios, incluyendo los de bancos y tiendas online, hasta encontrar una coincidencia. Imagínate el coste que podría suponer el robo de tu contraseña de Twitter si es la misma que utilizas para acceder a tu cuenta corriente.

3. Envío de información comprometida. El vínculo que creamos con otros usuarios de Twitter es tal que llegamos a pensar que podemos compartir con ellos cualquier información. Pero no hay que olvidar que entre los cientos de personas que nos siguen podría haber alguien que pretenda sacar provecho a la información que revelan nuestros tweets.

   Hay dos tipos de información a la que otras personas podrían dar un uso malicioso. La primera es información de carácter personal. Por ejemplo, si has hablado de donde vives y donde trabajas, y después comentas que estás pasando unos días de vacaciones en la playa, alguien podría aprovechar para intentar robar en tu casa.

   El segundo tipo es información sobre tu empresa. En tu puesto de trabajo probablemente tengas acceso a información confidencial. Un tweet hablando de la nueva estrategia de negocio podría llegar a manos de un competidor. En casos extremos, la divulgación de información privilegiada a través de blogs ha sido causa de despido. En un futuro, podríamos encontrarnos con casos similares en Twitter.

Afortunadamente, protegernos de estos riesgos está en nuestras manos. Aumentar nuestra seguridad es tan fácil como utilizar una contraseña específica para Twitter. También es importante recordar que a no ser que hayamos protegido nuestros tweets, cualquier persona puede tener acceso a ellos. Con esto en mente, ¡estamos listos para seguir twitteando!

La lista de contraseñas no aceptadas en Twitter por ser demasiado obvias está en inglés. Esto supone una desventaja para los usuarios hispanohablantes. ¿Qué palabras deberíamos evitar nosotros?

Durante dos años, y antes de ser arrestado en 2002, el hacker británico Gary McKinnon entró en repetidas ocasiones en ordenadores del ejército americano, el Departamento de Defensa y la NASA. Durante el proceso judicial mediante el cual intentaba evitar su extradición a EEUU, McKinnon concedió una asombrosa entrevista a la BBC, en la que manifestó haber descubierto que la NASA oculta información sobre tecnologías extraterrestres como la fuerza anti-gravedad.

Pero la parte más interesante del caso McKinnon no es su supuesto descubrimiento, sino el método que utilizó para colarse en las computadoras de estos centros de alta seguridad. McKinnon escribió un sencillo programa en Perl para introducir en cientos de ordenadores contraseñas extremadamente simples, por ejemplo la palabra “password” (contraseña en inglés) o incluso dejar el campo de contraseña en blanco. Y, sorprendentemente, en muchos casos su sencillo plan funcionó, dándole acceso a grandes cantidades de información privilegiada.

Si ni siquiera los trabajadores de centros de inteligencia son capaces de inventar contraseñas seguras para sus ordenadores, ¿es posible que todos los usuarios protejan correctamene su cuenta de Twitter? La respuesta parece ser que no.

En vista del problema, Twitter ha decidido tomar cartas en el asunto. Según un artículo en el Washington Post, Twitter ha elaborado una lista de 370 contraseñas que considera demasiado vulnerables, y no las acepta cuando alguien intenta utilizarlas al crear su cuenta. La lista incluye los siguientes ejemplos:

111111
123456
aaaaaa
abcdef
password
password1
password12
password123
secret (secreto)
xxxxxx
zzzzzz

Bastante obvias, ¿no? El problema es que el resto de contraseñas que Twitter considera demasiado fáciles de adivinar son palabras en inglés, y aunque esas palabras están prohibidas, sus equivalentes en español están admitidos. Por tanto, los usuarios hispanohablantes no tenemos ese nivel extra de protección que supone el que Twitter compruebe si tu contraseña es una palabra muy común en tu idioma.

Así que nos toca tomar precauciones a nosotros mismos. Si queremos impedir que alguien pueda gastarnos una broma pesada entrando en nuestra cuenta y enviando tweets en nuestro nombre, debemos no sólo evitar las contraseñas de la lista, sino también cualquier otra que sea fácil de adivinar en español.

A mí se me ocurren los siguientes ejemplos para la lista de contraseñas vulnerables en español: secreto, privado, contraseña, lalala, Twitter, y la misma palabra que usas como nombre de usuario. ¿Se te ocurren más palabras a evitar? Déjanos un comentario con tus sugerencias.