13 Agosto 2019.
Tomado de: El País (España)
El experto en ciberseguridad Lamax Muthiya alertó el pasado mes de julio a Instagram de que cuando una persona solicitaba una nueva contraseña a la red social, la cuenta quedaba desprotegida. El sistema enviaba una contraseña numérica al dueño de la cuenta, pero, este código podía ser hackeado de manera sencilla.
“La contraseña se bloquea tras varios intentos cuando se prueban distintas combinaciones desde una IP determinada. Sin embargo, es posible comprobar miles de combinaciones hasta dar con la acertada desde distintos ordenadores”, explica Eusebio Nieva, director técnico de Checkpoint en España y Portugal. La historia acabó bien para el experto, la compañía y los usuarios: Muthiya alertó a Facebook (propietaria de Instagram) y esta le recompensó con 30.000 dólares. Pero, ¿y si el descubridor de esta vulnerabilidad la hubiese utilizado en perjuicio de los clientes?
Las redes sociales basadas en web soportan muchos ataques estándares. Uno de los ataques más comunes es el conocido como man in the middle: “significa interponerse entre las comunicaciones del usuario y la red social e interceptar toda la comunicación”, explica Nieva. “Es más sencillo en la aplicación que en web porque no es más que una interfaz web modificada por el propio dueño de la red”, añade.
También es común atacar las actualizaciones en los entornos web o en la misma app. Normalmente, se inyecta un código malicioso y se engaña a los usuarios para que lo instalen como si fuera una nueva versión de la aplicación.
La buena noticia es que a medida que las redes sociales van madurando, van pasando más controles de seguridad y suelen ser menos vulnerables y la mala es que como están constantemente incluyendo novedades, es más fácil que se produzca un ataque
El experto asegura que el problema no es la facilidad o dificultad de hackear las redes sino de encontrar la vulnerabilidad de cada una. Hay más gente maliciosa que investigadores como Muthiya intentando hacerse con el control de las redes. La buena noticia es que a medida que las redes sociales van madurando, van pasando más controles de seguridad y suelen ser menos vulnerables y la mala es que como están constantemente incluyendo novedades, es más fácil que se produzca un ataque.
Cuanto más nuevo, más margen de maniobra tienen los ciberdelincuentes. Extorsión, robo de datos, inserción de links maliciosos (con virus) son los principales problemas de una app hackeada.
Hay maneras de causar perjuicio en el ámbito individual y a miles de personas con un mismo ataque. En marzo se detectó una campaña de malware en Facebook. Los ciberdelincuentes se hacían pasar por un alto cargo del ejército libio que contaba con miles de seguidores. La página, que por supuesto era falsa, estaba llena de links de contenido malicioso y a la vez que extorsionaban al propietario de la cuenta (que no tenía que ver con la página), miles de seguidores hacían click en sitios web inseguros.
Solo hay una manera de saber si su cuenta ha sido objetivo de un hacker: observar el historial de entrada. Si encuentra log in (entradas) con modificaciones que usted no haya hecho, póngalo en conocimiento de los dueños de la red social. “Además, es recomendable cambiar las credenciales con una autenticación de doble factor”, señala Nieva. Se refiere a que además de que la red le solicite su usuario y contraseña, pida que le envíen un código al móvil previo acceso a la cuenta. “Combinar algo que sabe, es decir, su contraseña, algo que tiene, el código a su teléfono móvil y algo que es: la huella digital, restringe el riesgo de que le roben la cuenta”, añade el experto.
Todos los expertos coinciden en que las contraseñas han de ser fáciles de recordar. Una página de un libro, mezclada con la primera letra de una frase o de un refrán es una buena idea. Añadir un símbolo es importante para tener más seguridad. Además, nunca hay que reutilizar contraseñas para distintos servicios. Si tiene problemas para recordar varias, puede recurrir a un gestor de contraseñas. “Yo utilizo Keebass. Sirve para el teléfono móvil, para Windows y varios sistemas operativos más”, dice Nieva. “Hay otras app basadas en web pero como están en la red no eres dueño del todo del almacenamiento”, añade.
Pese a tomar muchas precauciones, hay que ser consciente de que cualquier red social es susceptible de robo. “Si no quiere que te roben fotos comprometidas o información sensible no la suba a sus redes. Cualquier dispositivo puede ser hackeado, por lo tanto, si tiene dichos datos al menos, que sea el menor tiempo posible. Tener una nube más segura o más medidas de seguridad son otras opciones”, concluye Nieva.