Cada vez es más común leer de hackeos a cuentas corporativas de Twitter. Lo
anterior, aunque no pudiera representar un riesgo a la infraestructura interna
de una empresa, sí significa un episodio vergonzoso para la compañía ya que normalmente
el atacante escribe tweets embarazosos, publica fotos indecentes o ligas que
llevan a sitios maliciosos.
Es importante mencionar que el objetivo de una cuenta
corporativa de Twitter es aprovechar esta red social para estar en contacto con
los clientes de la empresa, enviar ofertas o información relevante que se desee
comunicar, así como notificar de nuevos productos y servicios o bien, contestar
inquietudes o quejas de los clientes.
Por lo tanto, lo último que se desea es que un hacker
comprometa la cuenta de esta red social y envíe mensajes totalmente fuera
del interés de la organización.
A continuación ofrezco una serie de medidas que pueden
reducir el riesgo de que se comprometa una cuenta corporativa de Twitter:
Sistema seguro:
el equipo de cómputo desde donde se utilizará Twitter debe estar bien
protegido.
a).- No debe faltar un antivirus
actualizado, un sistema operativo constantemente parchado para evitar
vulnerabilidades y lo mismo con sus aplicaciones (Internet Explorer, FireFox, Office,
etc.). Tal vez no esté de más un endurecimiento del sistema (hay guías en línea).
b).- Por último, impedir el ingreso de
dispositivos tipo USB (para evitar virus) a estas computadoras y sólo instalar
software corporativo autorizado.
c).- Con el fin de resguardar la
integridad de estos sistemas, se debe de evitar leer correo desde ellos (de
preferencia desinstalar clientes de email como Outlook). El correo es cada vez
más un vector de ataque por los adjuntos maliciosos que se envían a través de
él o las ligas a sitios con malware que se incluyen en los mensajes.
d).- Por otro lado, es prudente no
instalar aplicaciones que históricamente han sido un dolor de cabeza por su
inseguridad (constantemente se descubren vulnerabilidades –incluyendo de día
cero- que hay que estar parchando frecuentemente) y que son: Java, Adobe Reader
y Adobe Flash. De hecho es una buena medida no instalar programas que no se
vayan a requerir para el envío de tweets.
e).- La navegación por sitios de Internet
es otra fuente de infecciones que pueden tomar el control del sistema, instalar
un par de keyloggers y robar la
contraseña de nuestro Twitter. Aunque es preferible impedir toda la navegación
a sitios de Internet, puede haber algunas razones válidas por las cuales se
debe entrar a páginas de la red, entonces se puede hacer una de dos cosas (por
ejemplo):
I.
Instalar
un navegador diferente al Internet Explorer (por ejemplo Chrome o FireFox) con
un add-on instalado tipo No-Script (evita la ejecución de Java y JavaScrit
entre otras varias funcionalidades de seguridad).
II.
Con
VMWare Player o VirtualBox instalar una máquina virtual de Linux y desde ahí
navegar. Mantener la máquina virtual actualizada es básico y mantenerla aislada
del sistema maestro.
f).- Podemos proteger un sistema al
limitar en extremo su conectividad al exterior (Internet), pero los atacantes
se las han ingeniado para hacer ataques indirectos. Comprometen a un sistema
cualquiera dentro de la empresa y posteriormente desde ahí atacan el equipo al
que realmente quieren llegar. Por lo tanto si decidiéramos que nuestro equipo
no tendrá ni Outlook, ni podrá navegar a donde quiera y tampoco se le podrán
meter USB, entonces el atacante podría utilizar el método indirecto aquí
descrito.
Lo que hará es comprometer a un sistema cualquiera dentro de
la empresa y de ahí atacar a nuestro equipo desde donde se envían tweets; lo
anterior es posible dada la relación de confianza que hay entre todas las PC y
servidores de una empresa. Para incrementar la seguridad del equipo usado para
enviar tweets, habrá que usar su firewall de Windows o las listas de control de
acceso de dispositivos de red para reducir esa confianza a ciertos servidores y
equipos cliente con los que verdaderamente se justifique una comunicación vía
red (la restricción puede ser por dirección IP y/o puertos). La segmentación en
las redes también puede ayudar, entre otras medidas.
Políticas para enviar tweets: de preferencia debe de haber una política que
establezca algunos parámetros y criterios para poder mandar mensajes de manera
segura. Se puede incluir:
·
Equipo
autorizado para enviar tweets. Establecer cuál va a ser la o las computadoras
desde donde está permitido enviar mensajes a Twitter. Lo anterior con el fin de
evitar usar otros equipos con medidas de seguridad poco robustas.
·
No
ingresar a páginas web que envíen nuestros seguidores. Es común que un follower de la cuenta corporativa nos
mande una liga para revisar su contenido. Se debe de evitar visitar dichos
sitios utilizando el mismo equipo desde donde se mandan tweets. De preferencia
visitarlos desde otra computadora diferente (o desde una máquina virtual
aislada).
·
Envío
de tweets. Especificar desde dónde se pueden enviar mensajes, por ejemplo desde
la página de Twitter o desde clientes como TweetDeck, HootSuite, etc. Sería
importante establecer cuáles clientes se consideran seguros, enlistarlos y sólo
desde ahí mandar información.
Contraseña robusta: para abrir una cuenta de Twitter, se pide una contraseña. Es de suma
importancia seleccionar un password robusto. Por ejemplo de al menos 15
caracteres, que incluya mayúsculas y minúsculas, números y claro, caracteres
especiales. Adivinar las contraseñas de cuentas de Twitter es muy común dada la
pobre selección de passwords que hacen los usuarios, por lo tanto es muy
importante que no sea “adivinable”. En algún momento, Twitter debe de ofrecer un segundo factor de autenticación, el cual
incrementará la seguridad de la autenticación. Y si bien nos va, tal vez
arregle otros problemas que depende de la compañía solucionar (aquí un ejemplo).
Ya que estamos hablando de contraseñas, es importante
mencionar que nunca se debe de proporcionar cuando haya peticiones “extrañas”.
Típico que te llega un correo que aparenta ser de Twitter pidiéndote que
ingreses a un sitio (que no es de Twitter pero que parecer serlo www.accountupdate.twitter.ru).
Contraseña única: el password de Twitter no debe de ser el mismo usado en otra cuenta. Es
común que un atacante llegue a hackear la contraseña por ejemplo de GMail, y
posteriormente pruebe a ver si esa misma contraseña sirve en otros lados (como
Twitter). Es frecuente que por la dificultad de recordar numerosos passwords,
los usuarios seleccionen la misma contraseña para diferentes cuentas (se puede
usar LastPass que es gratuito y se utiliza para administrar contraseñas de
manera segura; y hasta app para teléfonos tiene).
Redes inalámbricas: las redes WiFi comúnmente halladas en hoteles, cafés o restaurantes
suelen ser totalmente inseguras por lo que un atacante puede interceptar la
comunicación y comprometer la cuenta de Twitter. Se recomienda usar la red 3G
de los teléfonos o bien usar WiFi pero junto con una aplicación que cifre el
contenido enviado (implementando una Virtual
Private Network con productos como openVPN o ProXPN por ejemplo); y es importante
mencionar que en todos los casos (sobre todo cuando se esté fuera de la
Empresa), usar una VPN es siempre una buena idea. Para una seguridad extrema,
es preferible no usar redes inalámbricas para enviar mensajes de Twitter.
Apps de terceros: es común permitir a otras aplicaciones hacer uso de la cuenta de
Twitter para que ellas envíen mensajes sin necesidad de que dicha aplicación se
autentique constantemente. Por ejemplo aplicaciones como FourSquare, SoundHound
o varias apps de periódicos tienen la capacidad de enviar mensajes a Twitter en
nuestro nombre una vez que nosotros les hemos otorgado el permiso
correspondiente. Resulta ser que si la aplicación del tercero es comprometida o
se le da permiso a una aplicación maliciosa, entonces la cuenta de Twitter se
podría ver también comprometida al abusar del privilegio previamente otorgado.
Lo recomendable es no permitir que ninguna aplicación de un tercero se conecte
y envíe tweets a nuestro nombre (lo anterior se puede verificar ingresando a
Twitter en Configuración-> Cuenta-> Aplicaciones).
Página válida de Twitter: es importante que nosotros seamos los que tecleemos la
página www.twitter.com desde el navegador y verificar que inicia con “https”. Lo
primero evitará ir a sitios apócrifos, lo segundo establecerá un canal seguro
desde nuestro equipo al servidor de Twitter. Nunca ir a la página de Twitter
por medio de una liga que nos haya sido enviada por correo o que se haya
enlistado en un sitio web no confiable.
Cuenta de correo registrada: para abrir una cuenta, Twitter nos pide una cuenta de
correo. Lo ideal es que esa dirección de correo electrónico no pertenezca a una
persona (así evitamos que el hackeo de esa cuenta de correo derive en el
compromiso de la cuenta de Twitter). Es preferible usar un correo electrónico
corporativo creado específicamente para este propósito (tweet@corporativo.com)
y que dicha cuenta de correo sea sólo para administrar la cuenta de Twitter y
no para estar leyendo y enviando correos por doquier. Así protegeremos la
cuenta de Twitter.
Conlcusión.
Puedes adoptar todas las medidas anteriormente descritas o
sólo algunas. Depende del nivel de riesgo que estés dispuesto a aceptar. Y si todo
lo anterior falla, será necesario pedir ayuda
a Twitter ante una cuenta comprometida con el fin de que puedas recuperar el
control de la misma. Felices tweets te desea @FaustoCepeda.