La asombrosa escala del hackeo a Twitter
Estas son las valoraciones de Dmitry Galov y Dmitry Bestuzhev (que es el de la foto) expertos en ciberseguridad de Kaspersky, acerca del reciente hackeo en Twitter, junto con consejos para identificar estafas y proteger las cuentas en redes sociales.
“Hackear cuentas populares para publicar mensajes de estafa no es una práctica nueva, como tampoco lo es el timo de recobrar por duplicado una donación. Lo que es curioso en este caso es la escala del ataque y el hecho de que el actor se haya apoderado completamente de las cuentas verificadas – se han cambiado sus correos electrónicos, por lo que los propietarios no son capaces de recuperar el acceso con la suficiente rapidez. Esta estafa ha sido extremadamente efectiva - la cantidad recogida de las víctimas equivale ya, en tan solo un día, a más de 120.000 dólares. Creo que podemos extraer dos grandes lecciones de este incidente. En primer lugar, los usuarios tienen que ser conscientes de la existencia de este tipo de estafas y ser cautelosos en las redes sociales; tienen que ser capaces de reconocerlas. En segundo lugar, tenemos que ser muy cuidadosos con nuestros activos online, cualquier cosa crítica tiene que tener, como mínimo, una autenticación de dos factores", comenta Dmitry Galov, investigador de seguridad de Kaspersky.
“Esta gran estafa pone de manifiesto el hecho de que vivimos en una época en la que incluso las personas con conocimientos sobre tecnología pueden caer en las trampas de los estafadores, e incluso las cuentas más seguras pueden ser hackeadas. Según nuestras estimaciones, en sólo dos horas al menos 367 usuarios han transferido alrededor de 120.000 dólares en total a los atacantes. La ciberseguridad es, sin duda, una de las mayores prioridades de las principales plataformas de redes sociales, y se esfuerzan por evitar muchos ataques cada día" añade Dmitry Bestuzhev (foto).
Sin embargo, ningún sitio web ni software es totalmente inmune a los virus, como tampoco los humanos dejamos de cometer errores. Por lo tanto, cualquier plataforma nativa puede verse comprometida. Hoy en día vemos cómo, junto con los nuevos vectores de ataque, las estafas combinan técnicas antiguas y eficaces, para utilizar un elemento de sorpresa y ganar la confianza de la gente y así facilitar el ataque y atraer a las víctimas a la trampa. Hablamos, por ejemplo, de una mezcla de ataques a la cadena de suministro con ingeniería social. Además, los agentes de la amenaza pueden obtener acceso a la cuenta de la víctima de otras maneras: penetrando en una aplicación de terceros con acceso al perfil del usuario, o utilizando técnicas de fuerza bruta para descubrir su contraseña.
A pesar de ello, no hay que entrar en pánico sino aceptar que los usuarios de las cuentas de las redes sociales han de ser responsables y llevar a cabo una protección exhaustiva. Este incidente puede servirnos para reevaluar cómo gestionamos nuestros perfiles sociales y su seguridad. Una vez hecho esto, se hará evidente que poseemos conocimientos e instrumentos para reconocer incluso la estafa más elaborada y minimizar su impacto".
Para poder identificar estafas en redes sociales, tenga en cuenta los siguientes factores:
· El elemento más importante en cualquier intento de fraude es el límite temporal. De esta forma, no sólo se evita que la víctima tenga tiempo para comprobar en profundidad la veracidad de lo que ocurre, sino que también presiona psicológicamente al usuario, haciendo más probable que obvie algún detalle. El miedo a perder una gran oportunidad es capaz de persuadir incluso al más avezado a que asuma un riesgo o caiga en la trampa del atacante.
· En este caso, la ciberestafa ha sido diseñada a medida de la personalidad del propietario o al tono de voz de la cuenta hackeada, lo que hace que parezca más legítima. Los cibercriminales podrían incluso ir más allá e ilustrar el fraude con un diseño que parezca auténtico o a través de un deepfake. Hay que tener en cuenta que las campañas oficiales e incluso las iniciativas individuales de tal envergadura siempre cuentan con documentos prescriptivos como soporte para las promociones, aunque su duración temporal sea muy corta, y que estos se publican fuera de las redes sociales. Asimismo, los aspectos financieros suelen ser más transparentes y no se vinculan a carteras de bitcoin privadas.
· Recuerde que es muy poco probable que una empresa oficial o una persona reconocida le pida transferir dinero, aunque sea con la intención de ser devuelto a posteriori, o incluso como una broma, debido a las posibles implicaciones fiscales o a nivel de informes financiero.
Para proteger al máximo su cuenta en redes sociales, tenga en cuenta:
· Es absolutamente esencial tener una contraseña fuerte, pero también debe ser única, de modo que, si un sitio web filtra su credencial, el resto de sus cuentas permanezcan seguras. Para crear una contraseña segura y compleja para cada sitio web, utilice técnicas de memoria o un gestor de contraseñas.
· Utilice la autenticación de dos factores, en la que el nombre de usuario y la contraseña deban ser confirmados introduciendo un código especial. Además, piense en la posibilidad de no utilizar un mensaje de texto para recibir este código, ya que puede ser secuestrado, sino una aplicación que genere dichos códigos. También puede usar una llave física, conectada al dispositivo mediante un cable USB o NFC.
· Otra medida de seguridad a poner en marcha es una revisión exhaustiva de las aplicaciones que tienen acceso a la cuenta de Twitter. Estas se pueden encontrar en la configuración de dicha cuenta. Recomendamos revocar el acceso a la cuenta de todas ellas, o de aquellas que no considere completamente protegidas para que, en caso de que sean pirateadas no sea posible acceder a su cuenta.
