Atacados en la red. Así se sintieron las periodistas Ibéyise Pacheco y Berenice Gómez (La bicha), el analista político Eduardo Semtei, el escritor Leonardo Padrón, Jesús Torrealba, conductor de Radar de Barrios, en Globovision y el animador Nelson Bustamante, reseña El Carabobeño.
Leonardo Padrón y Berenice Gómez acudieron el lunes al Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (Cicpc) para solicitar una investigación formal por el hackeo de sus cuentas de Twitter.
Saben los comunicadores que quienes sabotearon sus cuentas quebrantaron la Ley Especial contra los Delitos Informáticos que establece en su artículo 6 que el acceso “sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias”.
Si bien llama profundamente la atención que estas figuras, abiertamente críticas al gobierno de Hugo Chávez, sean repetidamente atacadas, también se debe apuntar que estos delitos ocurren por un exceso de confianza que deja vulnerables los sistemas de protección que se puedan implementar.
¿Qué tan fácil es hackear una cuenta en Twitter? “Todos sabemos que no existe ningún sistema lo suficientemente seguro como para que no sea manipulado por alguien con conocimiento, paciencia e incluso hasta suerte. Aunque los sistemas que le dan vida a las redes sociales tienen un tren de gente altamente capacitada mejorando continuamente la seguridad, existe un eslabón muy vulnerable y es el usuario”, explicó Manuel Roldan, especialista sénior en seguridad informática de una reconocida entidad bancaria.
Irónicamente la forma más fácil de hacerlo es preguntándole la clave al usuario. Así de fácil. Se llama Ingeniería Social. El hacker busca la manera de lanzarle una pregunta al potencial afectado para que diga su contraseña.
Ahí somos susceptibles todos, indicó Roldán, te pueden enviar un xploit o como se conoce comúnmente un “cazabobo”, que funciona primero, una pantalla de la página Twitter que es idéntica a la original, ahí colocas tu clave y contraseña y por supuesto, esa pantalla te lleva a una página que es del atacante, te dice “contraseña incorrecta” y te redirige a la pantalla original de Twitter sin que te des cuenta y el hacker ya tiene tus datos. La mayoría de los xploits y correos phishing capturan la primera vez que colocas la contraseña antes de redirigirte a la página original para que ingreses normalmente y no sospeches que algo pasó.
El especialista en seguridad informática explicó que otra manera de acceder sin autorización a una cuenta es tratar de meterle un virus o un gusano a la computadora de la víctima que hace que se grabe todo lo que se hace en ella. “Se llaman los keylogger, por lo general siempre son archivos que están infectados. Hay muchos “cazabobos” que te dicen: “consigue la clave de Twitter gratis”, y las personas que quieren la clave de su pareja o de alguien en particular, se bajan este programa y resulta que se están auto hackeando”.
La ingeniería social es usada de múltiples formas en estos casos. “Otra manera que tienen los hacker es buscar con contraseñas adivinables como fechas de nacimiento, de cédula, aniversarios de boda. No se pueden tener contraseñas que signifiquen algo para las personas porque es más fácil para el pirata informático atacar. Los hackers entran a las cuentas de correo no a Twitter y con esto, tienen acceso a cualquier red”, precisó Roldán.
El tiempo en que se tarda en hackear depende de cómo acceda a tu cuenta. “Si tiene un “cazabobo” y tú le mandas la contraseña, te hace todos los cambios que quiera. Hay veces que el daño lo hacen modificando todos tus datos de manera que no puedas recuperar más nunca tu cuenta. A menos que le envíes un informe a Twitter o a Facebook indicando que fue hackeada”.
En cualquier parte
En repetidas oportunidades los expertos en informática han explicado que en materia de protección de nada vale contar con las mejores herramientas si no existe prudencia de parte del usuario. ¿De qué sirve tener una casa con alambres cargados con voltaje, candados y ventanas enrejadas, si dejamos la puerta abierta? De nada.
Esto pasa con frecuencia. No se trata de culpar a la víctima con esta apreciación, pero sí de alertarla. Sobre todo ahora, con el auge de las redes sociales somos más vulnerables. El atacante puede llegar a nosotros desde cualquier vía: un amigo de un amigo de Facebook; un delincuente que se hace pasar por fan o amigo.
Son a veces inimaginables las fuentes que nutren a los delincuentes informáticos. Por eso, una personalidad debe tener presente que sus enemigos políticos o detractores ideológicos también pueden estar atentos a cualquier descuido.
Ser desconfiado y precavido es esencial para una figura política o pública. Sus casos son de especial interés para ciber-delincuentes que pueden incluso tener suficientes recursos técnicos y económicos para realizar un “bloqueo” de los espacios sociales de un rival político.
#N33: El hacker políticamente activo
La acción del grupo denominado #N33, repite los actos que organizaciones como Anonymous o Lulz Security han realizado en repetidas oportunidades. Estas organizaciones se envuelven en un manto libertario. Procuran defender causas justicieras y atacan sin ningún reparo las vulnerabilidades de cualquier institución, como el Banco Mundial o el FMI. Si bien la acción #N33 es abiertamente política da señas de lo grave que puede ser la mezcla de fanatismo con conocimiento de programación. Un hacker políticamente activo puede incluso aprovecharse de sus conocimientos y de las herramientas donde trabaja para realizar ataques. Pueden incluso tener a su disposición recursos para realizar sus delitos sin tener una respuesta efectiva de sus víctimas.
Es por ello que el Gobierno, a través de sus centros especializados como el Sucerte, deben ser los primeros interesados en detectar dónde pueden estar estos delincuentes. No pueden caer en el juego político y hace caso omiso a sus actos por justificarlos como una acción protectora del Presidente Chávez.
¿Qué ofrece Twitter para estar seguro?
Por lo general no ofrecen mucho, señaló Roldán. “Si envías un correo indicando que fue hackead tu cuenta, ellos la bloquean. Además, te garantizan que las aplicaciones, con sistemas OAuth (éste es el protocolo que usa Twitter para ofrecer un modo rápido de identificarse en algunos servicios y otras redes sociales), son revisadas antes de su publicación en Internet. Pero ¿cómo te protegen ellos de que des tu contraseña para una aplicación? Eso es lo único malo, porque el hacker lo único que está haciendo es preguntándote la contraseña y tú se la estás dando”.
La otra forma es que el hackers haga un hasting de los servidores de Twitter y eso es muy difícil. Sí lo han hecho, pero no un hackeo, sino que aprovechan vulnerabilidades que hay en el código y hacen tareas muy sencillas. Antes en Twitter podías publicar tweets con unos códigos que tú mandabas a través de la página, pero eso ya lo deshabilitaron. Con eso hacían que siguieras cuentas que no sigues y cosas así. Pero cada vez son menos las vulnerabilidades, porque en la medida que van explotando Twitter, ellos van cerrando esos puntos débiles.
Recomendaciones
Entre las principales recomendaciones que hace el especialista en seguridad informática están:
1. Twitter nunca te enviará un email, un mensaje directo o una respuesta pidiéndote tu contraseña, por lo tanto nunca bajo ningún concepto respondan uno de estos correos fraudulentos enviando sus datos y menos la contraseña.
2. Debes tener una política de cambio de contraseña cada cierto tiempo. Cámbiala por lo menos una vez al mes y si eres una personalidad pública deberías hacerlo semanal.
3. No aceptar programas de dudosa procedencia.
4. No uses el mismo correo para registrar todos tus servicios, o sea, no abras tu cuenta Twitter con la misma con la que abriste Facebook. Recuerda que con tu email pueden enviarte los “caza bobos”.
5. Cada vez que entres a Twitter o a Facebook y por casualidad te sale “contraseña incorrecta” y estás seguro de que la pusiste correctamente, inmediatamente cambia tu clave.
6. Selecciona las aplicaciones de terceros con cuidado. Debes ser particularmente cuidadoso cuando te pidan tu nombre de usuario y contraseña en una aplicación o sitio web. Cuando le das tu nombre de usuario y contraseña a alguien más, ellos tienen control completo sobre tu cuenta y pueden negarte el acceso o tomar acciones que puedan hacer que tu cuenta sea suspendida. Sospecha de cualquier aplicación que te prometa hacer dinero u obtener seguidores. Si suena demasiado bueno para ser cierto, probablemente lo es!
7. Evita entrar a Twitter en Cybers o sitios de navegación, no sabes que software malicioso pueden tener instaladas esas máquinas (no necesariamente adrede).
Heberto Alvarado/El Carabobeño
0 comentarios:
Publicar un comentario