Cómo se hackeó la cuenta de Correos en Twitter

Dice el refrán: «Cuando veas las barbas de tu vecino afeitar, pon las tuyas a remojar». El caso de @CorreosAtiende de esta semana ya es bastante conocido. El martes dicha cuenta de Correos en Twitter, destinada a atender a usuarios, fue 'hackeada' y usada para publicar diversos mensajes que hacían alusión al transporte de droga. Pese a que el asunto es bastante serio, el tono socarrón de los 'tweets' hizo que la difusión de estos corriese como la pólvora.

A estas alturas de la semana ya se conoce más o menos lo que pasó. Desde @CorreosAtiende, una vez recuperada la cuenta el miércoles, explicaban el incidente en tres pasos: el 'hackeo' de la cuenta, el cambio de nombre de usuario a @CorreosAtiende_ y la creación de un nuevo perfil con el nombre de usuario @CorreosAtiende. Son pasos que parecen adecuados para hablar un poco sobre este incidente, o más bien sobre este y todos los que están por venir, dado que el problema del 'hackeo' de cuentas no es nada nuevo y no sólo afecta a Twitter, sino también a Instagram y otras redes sociales.

Pese a emplear el término 'hackeo', que se vincula habitualmente a la pericia técnica, la inmensa mayoría de los casos se basan en prácticas de ingeniería social: la habilidad de los individuos interesados para conseguir información sobre su objetivo por las tretas habituales de toda la vida. Es decir, no es un problema que podamos achacar a una vulnerabilidad o error en la política de un sistema, como ocurrió con Facebook y el robo de cuentas -sobre los que volveremos más adelante- sino más bien a la necesidad no cubierta de entrenar a los usuarios en el buen uso y mantenimiento de sus cuentas.

Noticia Relacionada

El día que encontré un millón de virus en el ordenador de mi cuñado

Ya hace años Fernando Ramírez mencionaba los problemas de ingeniería social a raíz del hackeo de las cuentas de Twitter del FC Barcelona y del Real Madrid. Otro caso más reciente es el del Ayuntamiento de Palma, empleando la cuenta para amenazar a un concejal, en el que por cierto se produjo el mismo cambio de nombre empleando el guion bajo. En ambos casos no puede decirse que el objetivo sea meramente suplantar a la entidad para confundir a los usuarios. No parece que se trate de pasar desapercibido, ya que el descaro mostrado en los comentarios es mayúsculo. Es tan descarado que todos inmediatamente entendemos que se trata de una suplantación. También se han producido otros robos de cuentas sobre los llamados 'influencers'. Objetivos con gran visibilidad en los que estos ataques pueden crear impacto social. A favor de todos estos perjudicados está la inverosimilitud de los comentarios vertidos desde sus cuentas. Cabe preguntarse qué podría ocurrir cuando no sea tan fácil desmentir los comentarios de los usurpadores. Por ejemplo, para casos de particulares y más concretamente de adolescentes, que pueden resultar más vulnerables.

Dejando por ahora a un lado cómo se hizo el 'hackeo', si nos fijamos en el detalle del cambio de nombre de usuario, llegamos a una técnica que tampoco es nueva, conocida por 'typosquatting'. A modo de resumen, esta técnica consiste en hacerse pasar por una entidad conocida por medio de la modificación ligera del nombre al que se pretende suplantar. Siempre ha sido asociado más al 'phishing', como parte del engaño para que las víctimas confiadas se conecten a una web con una URL parecida al sitio legítimo pero sin serlo. Hay herramientas que permiten de forma simple comprobar variaciones en nombres de dominio para identificar 'typosquatting', por ejemplo Dnstwist. Pese a su simplicidad y antigüedad, resulta una técnica bastante efectiva en muchos casos. Sirva de ejemplo el revuelo que ha ocasionado en las elecciones presidenciales norteamericanas, donde se han detectado unos 550 'typosquats' para los 34 candidatos y varios dominios relacionados. En el caso que nos ocupa del robo de cuentas en redes sociales y en concreto en Twitter, el 'typosquatting' está dirigido a crear confusión para dificultar la recuperación de la cuenta, siendo muy habitual en los robos de cuentas que permiten la flexibilidad del cambio.

Twitter, al igual que otras plataformas, ofrece la posibilidad de restablecer la contraseña de una cuenta 'hackeada' a través de su centro de ayuda. Sin embargo, el usuario de la cuenta puede no percibir el cambio y solicitar, por ejemplo, la recuperación de la cuenta con nombre de usuario @CorreosAtiende en lugar de hacerlo sobre el actual identificador @CorreosAtiende_, retrasando la recuperación.

Siempre que se producen 'hackeos' de cuentas los consejos para las futuras (y tal vez actuales) víctimas son los mismos, que también se mantienen en esta ocasión: comprobar si nuestra cuenta de correo (la que seguramente usemos para el acceso a diferentes redes sociales) ha sido 'hackeada', por ejemplo empleando el servicio de Have I Been Pwned; activar el doble factor de autenticación; procurar no emplear contraseñas repetidas o débiles y desconfiar de emails de servicios de soporte que te indican que debas actualizar tu contraseña haciendo clic en alguna URL. Este último punto es delicado, porque muchos servicios siguen empleando este modus operandi, por lo que los usuarios están habituados a confiar en estos modelos.

Respecto al doble factor de autenticación, es importante que el segundo medio de autenticación no sea otra cuenta de email. Se suele optar por el teléfono móvil, aunque tampoco es infalible ante el engaño y si no, que se lo cuenten a Albert Ribera. Otro inconveniente es que estamos proporcionando nuestro número de teléfono a servicios que, de hecho, podrían tener vulnerabilidades en un futuro o hacer un mal uso de estos datos, ya sea voluntaria o involuntariamente. Igual que Facebook, Twitter también tiene problemas conocidos de este tipo, y esto sí está al margen de lo que pueda hacer el usuario. Como factor adicional, algo que está ocurriendo es que cada vez tendemos a proporcionar más datos personales para verificar nuestra identidad con las redes y esto también es un problema, dado que ante una brecha de seguridad quedamos expuestos nosotros y nuestro entorno.

Tomar conciencia de estos principios es tan fundamental cuando lo focalizamos en el factor humano que tal vez ya no valga sólo con iniciativas de concienciación al uso, siendo muy buena noticia que este año en España se vaya a llevar a cabo un CTF sobre ingeniería social. Estará muy bien ver cuáles son los resultados del mismo.

Desde Correos se han tomado la lectura a posteriori de este incidente con humor, publicando un vídeo como respuesta al 'hacker' protagonizado por los paquetes 'hacker'. Sin embargo, el buen encaje de esta situación no hace que la posibilidad de que cualquiera pueda acceder a estas cuentas para publicar cualquier contenido en nuestro nombre resulte menos alarmante.