Ataques en Twitter a la curiosidad

Hoy leemos en el Twitter de Seguritecnia, la prestigiosa revista de seguridad, que han sido víctimas del ataque de un virus que circula entre usuarios de Twitter. El tipo de ataque que utiliza es, en nuestra opinión, fundamentalmente un ataque de ingeniería social, que aquí llamaremos “ataque a la curiosidad”.

En 4 tuits de Seguritecnia leemos lo siguiente:

Parte 1. NOTA IMPORTANTE: Hay un virus circulando por Twitter que te llega en forma de un MD que dice: “” Did you see…”No abráis el MD.

Parte 2. Si lo abrís y habéis pinchado en el Link tenéis que hacer: Ir Aplicaciones>revocar acceso y por seguridad cambien la contraseña. RT

Parte 3: Si no lo habéis abierto y pinchado en el link no estáis infectados.

Parte4: Nosotros también fuimos víctimas de este ciberataque. Esperamos que este aviso os sea útil. Perdonar las molestias.

-o-

El virus llega en la forma de mensaje directo (DM), como el típico mensaje que nos llega de alguien que nos agradece que lo sigamos, pero en este caso invita a ver unas fotos o a comprobar lo que alguien está diciendo de la víctima, pulsando un enlace que adjunta. Lo engañoso del asunto es que quien nos envía el mensaje es uno de nuestros contactos; en nuestro caso incluso profesionales de la seguridad conocidos y por tanto con un grado alto de confiabilidad.

Pero lo que atrae irresistiblemente de dicho link es la combinación del origen confiable con lo intrigante del mensaje que, para colmo, involucra la reputación de la víctima. Estamos acostumbrados a que la ambición propia sea uno de los factores que hace descuidar los controles básicos, y que provoca que seamos víctimas de fraudes, pero ahora vamos a ver que también lo es la curiosidad.

He aquí un ejemplo real que ya puse en la conferencia del pasado octubre en el Claustro Universitario de Chihuahua, de un mensaje que nos llegó a nuestro Twitter de un conocido:

“Hey someone is making up offensive things that are about you [link]” 

Pero nos han llegado otros tanto en la misma línea:

“Oye, qué haces en esta foto con los pantalones bajados [enlace]”

“Están diciendo cosas ridículas de ti, mira: [enlace]”

Y otros casos por el estilo. Normalmente, el mecanismo de propagación del virus es el siguiente: La víctima, alarmada, pulsa el enlace, que es uno de esos cortos tipo t.co, que no se sabe a dónde apuntan, y ya en el sitio web correspondiente es engañada para hacer el login como usuario de Twitter.

De esta manera, lo que en realidad estamos haciendo es dar permiso a una aplicación maliciosa que empezará a mandar spam desde nuestro tuiter o a mandar mensajes directos (DM) a nuestros seguidores (o ambas cosas). Y así es como llegan los mensajes infectados de personas supuestamente confiables.

En algunos casos será más fácil detectar el engaño por algunos indicadores como que nuestro contacto, que siempre escribe en español, de repente escriba el mensaje en inglés; o como que no solamos aparecer en fotos sin pantalones. En otros casos, cuanto más sofisticado o personalizado sea el ataque, más difícil será de detectar.

Bueno, en este caso no es grave el asunto. En el supuesto de haber sido víctimas de este engaño, hay que actuar como bien proponen nuestros amigos de Seguritecnia: Ir a Aplicaciones > luego revocar el acceso de la aplicación desconocida, y por seguridad también cambiar la contraseña.

De todo lo expuesto podemos extraer algunas lecciones, entre las que destacamos:

– Hay que analizar los riesgos, aunque brevemente, antes de actuar llevados por emociones. Pues como reza el refrán: “La curiosidad mató al gato”.

– Los profesionales de la seguridad podemos ser tan vulnerables como cualquiera a ataques de todo tipo

– En caso de ser víctimas de un ataque que pueda comprometer la seguridad de nuestra red de contactos (o clientes, o usuarios, o quienes sean), hay que reaccionar con humildad, reconocerlo, disculparse y avisar de inmediato para no propiciar más víctimas en nuestro entorno. No por esconder un error ocasionemos uno más grande. En ese sentido, en Seguritecnia han dado una valiosa lección y demostrado ser, como siempre, buenos profesionales.

Leave a Reply

Your email address will not be published. Required fields are marked *


− six = 2

* Copy This Password *

* Type Or Paste Password Here *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>