¿Está seguro tu presidente en Twitter?

jueves, 2 de marzo de 2017

La red social Twitter se ha convertido en un canal habitual para muchos presidentes de gobierno y primeros ministros con el fin de comunicar en tiempo real sus pensamientos desde rincones del mundo que antes eran impensables. Sin embargo, ¿qué pasaría si sus cuentas fuesen comprometidas? 

Apenas hace un mes una ciberidentidad llamada WauchulaGhost se dirigió al presidente Trump publicando el siguiente mensaje: «Cambia tus ajustes de seguridad». Sin que se trate de una gran habilidad técnica, una simple recuperación de contraseñas en esta red social llegó a exponer parte de los correos utilizados por varios perfiles de la Casa Blanca sin que fuera muy complicado llegar a autocompletarlos. A raíz de ello, estas cuentas cambiaron la configuración de seguridad para evitar la exposición de la información con la que se dieron de alta en esta red social. Efectivamente: el presidente tenía una dirección de recuperación de correo asociada a una cuenta de Gmail.




Y tu primer ministro, ¿expone también su información?
El primer problema al que nos tuvimos que enfrentar en esta investigación fue a la búsqueda de los perfiles de Twitter de todos los presidentes de gobierno del mundo. De esta manera llegamos a identificar otra mala práctica: ¡al menos el 46% de los presidentes que tienen presencia en Twitter no tienen verificadas sus cuentas! La verificación de las cuentas de Twitter es útil para prevenir una potencial suplantación de identidad al indicar la propia plataforma a los usuarios que una cuenta ha pasado un proceso de verificación adicional.

Figura 1. Porcentaje de presidentes que tiene sus cuentas verificadas frente a los que no las tienen.

Una vez realizado el primer paso y tras revisar las configuraciones de seguridad de todos aquellos que utilizan esta red social, en la Figura 2 se puede ver en color rojo aquellos países cuyos jefes de gobierno exponen parte de su información de registro y en color verde aquellos que han modificado las opciones de seguridad para evitar mostrar más información de la deseada. En este sentido, al menos el 85% de los que tienen cuenta de Twitter sobreexponen un indicio de la cuenta con la que se realizó el proceso de alta en la plataforma. E Incluso, algunas de estas cuentas también muestran información del número de teléfono con el que vincularon su cuenta de Twitter.

Figura 2. Presidentes de gobierno con al menos la dirección de correo expuesta.

Por otro lado, si analizamos los servicios de correo electrónico que se han utilizado para registrar sus cuentas podemos ver cómo, de aquellos presidentes que sobreexponen información, al menos un 30% utilizan cuentas de Gmail. El uso de este tipo de servicios es considerado mala práctica ya que, como estamos viendo, Twitter no muestra ningún reparo en decírselo a todo aquel que realice una simple recuperación de contraseñas sobre un perfil determinado. Por otro lado, de la misma manera que se le criticó a Hillary Clinton por el uso de servicios de correo personales para su correspondencia en el gobierno, deberían usarse cuentas corporativas para el registro en las redes sociales con el fin de no sobreexponer de forma tan directa el uso de un determinado servicio cuyas condiciones de seguridad pueden no estar alineadas con los estándares de la organización.

Figura 3. Perfiles con la geolocalización activada.

Por último, analizando toda la información que devuelve Twitter sobre un perfil hemos podido observar otra mala práctica y más cuando estamos hablando de jefes de gobierno: ¡al menos el 39% de los perfiles analizados tienen habilitada la geolocalización! Tampoco es necesario ser el primero de la clase para saber que se podría tener cierta noción de su ubicación y de sus rutinas.


No siempre la culpa es del usuario

Si bien es cierto que muchos usuarios ni siquiera leemos la política de privacidad y de seguridad de Twitter, esta red social tampoco nos proporciona mucho margen para evitar cierta exposición de información. Tenemos claro que debemos evitar cualquier posible sobreexposición de información sin nuestro consentimiento y así evitaremos potenciales ataques. Para protegernos, debemos ir al apartado de Seguridad y habilitar la casilla Requerir información personal para recuperar mi contraseña.

Figura 4. Cómo requerir información personal para recuperar la contraseña

Sin embargo, habilitarla no solucionará del todo nuestro problema. Al solicitar el restablecimiento de contraseña de un usuario que tuviera habilitada esta opción, y sin llegar a notificar al propietario del perfil, se podrían hacer cuantas consultas se quisieran hasta validar la información utilizada para su registro llegando a tener así la certeza de que existe cierto vínculo entre una dirección de correo dada y ese usuario. De todas formas, cuanto más difícil lo pongamos, más potenciales ataques podremos evitar.


Yaiza Rubio
Intelligence Analyst at ElevenPaths
@yrubiosec

Félix Brezo
Intelligence Analyst at ElevenPaths
@febrezo


No hay comentarios:

Publicar un comentario