Cómo se hackeó la cuenta de Correos en Twitter Ciberseguridad desde el SUR Una pequeña reflexión sobre la popular red social y CorreosAtiende ANA NIETO Sábado, 19 octubre 2019, 13:48

Dice el refrán: «cuando veas las barbas de tu vecino afeitar, pon las tuyas a remojar». El caso de CorreosAtiende de esta semana ya es bastante conocido. El martes dicha cuenta de Correos en Twitter, destinada a atender a usuarios, fue hackeada y usada para publicar diversos mensajes que hacían alusión al transporte de droga. Pese a que el asunto es bastante serio, el tono socarrón de los tweets hizo que la difusión de éstos corriese como la pólvora.

A estas alturas de la semana ya se conoce más o menos lo que pasó. Desde CorreosAtiende, una vez recuperada la cuenta el miércoles, explicaban el incidente en tres pasos: el hackeo de la cuenta, el cambio de nombre de usuario a @CorreosAtiende_ y la creación de un nuevo perfil con el nombre de usuario @CorreosAtiende. Son pasos que parecen adecuados para hablar un poco sobre este incidente, o más bien sobre este y todos los que están por venir, dado que el problema del hackeo de cuentas no es nada nuevo, y no sólo afecta a Twitter, sino también Instagram y otras redes sociales.

¡Hemos recuperado la cuenta de Atención al Cliente @CorreosAtiende ! Resolvemos las dudas generadas tras los comentarios recibidos.

[Abre hilo ⬇] CorreosAtiende (@CorreosAtiende) October 16, 2019

Pese a emplear el término hackeo, que se vincula habitualmente a la pericia técnica, la inmensa mayoría de los casos se basan en prácticas de ingeniería social; en la habilidad de los individuos interesados para conseguir información sobre su objetivo por las tretas habituales de toda la vida. Es decir, no es un problema que podamos achacar a una vulnerabilidad o error en la política de un sistema, como ocurrió con Facebook y el robo de cuentas, y sobre los que volveremos más adelante, sino más bien a la necesidad no cubierta de entrenar a los usuarios en el buen uso y mantenimiento de sus cuentas.

Ya hace años Fernando Ramírez mencionaba los problemas de ingeniería social a raíz del hackeo de las cuentas de Twitter del FC Barcelona y del Real Madrid. Otro caso más reciente es el del Ayuntamiento de Palma, empleando la cuenta para amenazar a un concejal, y donde por cierto se produjo el mismo cambio de nombre empleando el guion bajo. En ambos casos no puede decirse que el objetivo sea meramente suplantar a la entidad para confundir a los usuarios. No parece que se trate de pasar desapercibido ya que el descaro mostrado en los comentarios es mayúsculo. Es tan descarado que todos inmediatamente entendemos que se trata de una suplantación. También se han producido otros robos de cuentas sobre los llamados influencers. Objetivos con gran visibilidad en los que estos ataques pueden crear impacto social. A favor de todos estos perjudicados está la inverosimilitud de los comentarios vertidos desde sus cuentas. Cabe preguntarse qué podría ocurrir cuando no sea tan fácil desmentir los comentarios de los usurpadores. Por ejemplo para casos de particulares y digamos objetivos adolescentes, sectores en definitiva que pueden resultar más vulnerables.

Dejando por ahora a un lado cómo se hizo el hackeo, si nos fijamos en el detalle del cambio de nombre de usuario, llegamos a una técnica que tampoco es nueva, conocida por typosquatting. A modo de resumen, esta técnica consiste en hacerse pasar por una entidad conocida por medio de la modificación ligera del nombre al que se pretende suplantar. Siempre ha sido asociado más al physhing, como parte del engaño para que las víctimas confiadas se conecten a una Web con una URL parecida al sitio legítimo pero sin serlo. Hay herramientas que permiten de forma simple realizar un checkeo sobre variaciones en nombres de dominio para identificar typosquatting, por ejemplo dnstwist. Pese a su simplicidad y antigüedad resulta una técnica bastante efectiva en muchos casos. Sirva de ejemplo el revuelo que ha ocasionado en las elecciones presidenciales norteamericanas, donde se han detectado unos 550 typosquats para los 34 candidatos y varios dominios relacionados. En el caso que nos ocupa del robo de cuentas en redes sociales y en concreto en Twitter, el typosquatting está dirigido a crear confusión para dificultar la recuperación de la cuenta, siendo muy habitual en los robos de cuentas que permiten la flexibilidad del cambio.

Twitter, al igual que otras plataformas, ofrece la posibilidad de restablecer la contraseña de una cuenta hackeada a través de su centro de ayuda. Sin embargo, el usuario de la cuenta puede no percibir el cambio y solicitar, por ejemplo, la recuperación de la cuenta con nombre de usuario @CorreosAtiende en lugar de hacerlo sobre el actual identificador @CorreosAtiende_, retrasando la recuperación.

Siempre que se producen hackeos de cuentas los consejos para las futuras (y tal vez actuales) víctimas son los mismos, que también se mantienen en esta ocasión: comprobar si nuestra cuenta de correo (la que seguramente usemos para el acceso a diferentes redes sociales) ha sido hackeada, por ejemplo empleando el servicio de Have I Been Pwned, activar el doble factor de autenticación, procurar no emplear contraseñas repetidas o débiles y desconfiar de emails de servicios de soporte que te indican que debas actualizar tu contraseña clickando en alguna URL. Este último punto es delicado, porque muchos servicios siguen empleando este modus operanding, por lo que los usuarios están habituados a confiar en estos modelos.

Respecto al doble factor de autenticación, es importante que el segundo medio de autenticación no sea otra cuenta de email. Se suele optar por el teléfono móvil, aunque tampoco es infalible ante el engaño y si no que se lo cuenten a Albert Ribera. Otro inconveniente es que estamos proporcionando nuestro número de teléfono a servicios que de hecho podrían tener vulnerabilidades en un futuro o hacer un mal uso de estos datos, ya sea voluntaria o involuntariamente. Igual que Facebook Twitter también tiene problemas conocidos de este tipo, y esto sí está al margen de lo que pueda hacer el usuario. Como factor adicional, algo que está ocurriendo es que cada vez tendemos a proporcionar más datos personales para verificar nuestra identidad con las redes, y esto también es un problema, dado que ante una brecha de seguridad quedamos expuestos nosotros y nuestro entorno.

Tomar conciencia de estos principios es tan fundamental cuando lo focalizamos en el factor humano, que tal vez ya no valga sólo con iniciativas de concienciación al uso, siendo muy buena noticia que este año en España se vaya a llevar a cabo un CTF sobre ingeniería social. Estará muy bien ver cuáles son los resultados del mismo.

Desde Correos se han tomado la lectura a posteriori de este incidente con humor, publicando un vídeo como respuesta al hacker protagonizado por los paquetes hacker. Sin embargo, el buen encaje de esta situación no hace que la posibilidad de que cualquiera pueda acceder a estas cuentas para publicar cualquier contenido en nuestro nombre resulte menos alarmante.