Que hackeen tu correo o tus redes sociales puede ser así de fácil
Por suerte, tomar medidas para evitarlo, también es sencillo.
El lunes 14 de octubre de 2019 fue el día en el que unos hackers –no se sabe cuántos ni quiénes– tenían pensado atacar diversas cuentas de Twitter de instituciones españolas importantes. Seguramente tantearon a decenas de community managers para que cayeran en su engaño ingeniosamente planteado, pero finalmente fueron cuatro las víctimas: Universidad Pública de Navarra (@UNavarra), Universitat Jaume I (@UJIuniversitat), la cuenta de atención al cliente de Correos (@CorreosAtiende) y el Servicio Andaluz de Empleo (@SAEmpleo).
Ahora ya han conseguido volver a la normalidad, pero las cuatro cuentas sufrieron, durante horas, un ataque simultáneo con el mismo modus operandi: incluyeron al final del nombre de usuario un guion bajo (quedando libre el nombre oficial del usuario), cambiaron la contraseña y el correo de recuperación y publicaron contenidos desagradables con el mismo estilo de redacción.
En el perfil de Twitter de Correos Atiende desprestigiaron la marca e ironizaron con la calidad del servicio de Correos con frases como “Nuestro servicio es una basura, pero somos expertos en el transporte de droga”.
En la cuenta del Servicio Andaluz de Empleo amenazaron de muerte al líder del PP, Pablo Casado. Se refirieron a él como “un político corrupto” y le dijeron frases como “sé dónde vives y por dónde te mueves, tú y toda tu familia”.
En el perfil de la UJI desearon la muerte de la alcaldesa de Castelló, Amparo Marco (PSPV-PSOE), quien pronto puso las amenazas en conocimiento de la Policía Nacional para que investigase y determinase las responsabilidades legales oportunas.
Y en la cuenta de la UPNA tuitearon amenazas dirigidas al alcalde de Pamplona, Enrique Maya (Navarra Suma), quien ha asegurado que los autores son “descerebrados y gente de muy mala calaña” y que no le van a “amedrentar”.
El responsable de seguridad informática de la Universidad Pública de Navarra, José Javier Astrain, lamenta estos mensajes y asegura para este artículo que, de todo lo sucedido, “las mayores preocupaciones fueron las amenazas y difamaciones vertidas sobre la persona del alcalde de Pamplona y el daño a la reputación de la UPNA”.
En casos como estos entra en juego el Instituto Nacional de Ciberseguridad (INCIBE), organismo estatal de referencia para el desarrollo de la ciberseguridad y la confianza digital de los ciudadanos, que trabaja con el afectado, desde el momento de la detección del ciberataque, para mitigar el incidente y reducir el impacto perjudicial en la organización. “Así se extraen lecciones aprendidas para futuras situaciones similares”, añade Marcos Gómez, subdirector de INCIBE-CERT.
El engaño por encima de la tecnología
Existen muchas maneras de hackear datos personales o el acceso a cuentas de correo o redes sociales, pero en el 70% de los casos se dan técnicas de ingeniería social, es decir, engañan al usuario bajo cualquier pretexto para que facilite su nombre de usuario y contraseña.
Otra forma que tienen los hackers de hacerse con datos de otras personas o instituciones es a través de la tecnología. Por ejemplo, con programas maliciosos conocidos como keylogger que registran las teclas que se presionan en el teclado cuando el usuario introduce la contraseña. Este tipo de programas se pueden instalar al navegar o descargar información, programas o herramientas desde páginas web con poca reputación y poco fiables.
Los hackers también pueden conseguir información personal por alguna filtración de datos de usuarios de algún servicio online cuyos servidores se vean comprometidos. Si el usuario no está al tanto del acceso no autorizado y no actualiza su contraseña, podrían acceder a sus cuentas. El riesgo se incrementa si dicho usuario utiliza la misma clave para acceder a varios servicios online.
Lo que sí está claro es que, como alerta Ruth García, técnica de ciberseguridad del área de ciudadanos de INCIBE, “los ciberdelincuentes no descansan e intentan por todos los medios hacerse con el control de las cuentas de los usuarios”.
La aventura de recuperar tu cuenta de Twitter
El robo de los perfiles de Twitter de estas cuatro instituciones, a través del phishing o suplantación de identidad del propietario real, generó un dolor de cabeza para sus equipos de informática y comunicación que, a pesar de trabajar rápidamente en la recuperación de las cuentas, se encontraron con un sistema de denuncia de Twitter lento y poco eficiente.
Cuando te roben o hackeen la cuenta de Twitter, puedes rellenar el formulario que proporciona la propia red social para avisar de la situación, pero no siempre es efectivo. Suele ser más fructífero denunciar a la Policía Nacional –que ya está investigando este caso–, porque al parecer tiene contacto directo con estas empresas.
Además, desde INCIBE proporcionan asistencia, apoyo técnico y coordinación entre los agentes públicos o privados para retirar información sensible que se haya publicado, para mitigar ataques de denegación de servicio o para reponerse frente a una suplantación de los sitios web o cuentas en redes sociales.
La labor principal de este organismo es prevenir este tipo de incidentes, detectarlos y comunicarse con las entidades afectadas para protegerlas y ofrecer recomendaciones.
Cómo evitar que ataquen tus redes sociales
Con tener en cuenta estos cinco consejos evitarás que tus perfiles sociales sean hackeados:
No te dejes engañar. No te fíes de nadie ni facilites tus datos de acceso ni envíes tu contraseña por medios electrónicos. “Hay una falsa creencia del usuario de pensar que su perfil, datos o información en general pueda interesar a alguien”, destaca Ruth García, de INCIBE.
Pon una contraseña robusta. Utiliza claves de acceso difíciles de adivinar para evitar que los ciberdelincuentes la obtengan mediante técnicas de fuerza bruta, bots que prueban con contraseñas formadas por miles de combinaciones de números, letras y caracteres. Lo ideal es que incluya minúsculas, mayúsculas, números y símbolos o caracteres especiales.
Manel Medina, experto en ciberseguridad y director del esCERT-inLab-UPC, recomienda que las contraseñas sean largas: “De más de 8 caracteres. Y mejor aún si son de 12 o 16 por lo menos, aunque la recomendación es más de 30 para los sitios más seguros. También se recomienda usar pass-frase o frases de paso, para que sean largas y fáciles de recordar como, por ejemplo, ‘Estoy Enamorado de mi Esposa’ o ‘Mi Abue1a se !!amaba E1ena’, sustituyendo alguna letra por un número o signo de puntuación, si la política de contraseñas nos obliga a ello”.
En la campaña Contraseñas seguras, publicada por la Oficina de Seguridad del Internauta (OSI), puedes ver más información.
Configura la doble verificación. Se puede llamar “doble verificación”, “doble factor”, “verificación en dos pasos”, “doble autentificación”… pero todas las denominaciones se refieren a lo mismo: configurar la obligatoriedad de introducir dos códigos, uno de los cuales llega al móvil o al correo, para dificultar más el acceso final. No todas las plataformas y servicios lo permiten, pero sí las principales como Facebook, Twitter e Instagram. Y si ofrecen la posibilidad, es mejor usarla.
Usa diferentes contraseñas. Utiliza distintas claves de acceso para cada servicio online y cámbialas periódicamente. Es cierto que esto dificulta memorizar la contraseña, pero puedes ayudarte de un gestor de contraseñas, un servicio especializado (web o aplicación para el móvil) donde puedes guardarlas con seguridad para recurrir a buscarlas cuando las necesites. Evita guardarlas en el caché del navegador o en un Word o Excel.
Aplica medidas de seguridad. Usa antivirus para proteger tus dispositivos de infecciones y evitar la instalación de malwares o la entrada de hackers. Además, Manel Medina, que también es director de los másteres Cybersecurity Management y Tecnologías Blockchain de la UPC-School, recuerda que es importante “no clicar enlaces contenidos en mensajes de correo, es mejor teclear nosotros el enlace o copiarlo y probarlo desde VirusTotal, para analizar la web con todos los antivirus”.
También hay que evitar usar redes inalámbrica (Wi-Fi) abiertas. Además, se recomienda mantenerse informado sobre ciberseguridad, para estar al día de cualquier robo de datos de usuarios o ataques a los servidores que puedan sufrir los servicios que usas.
