lunes, 30 de enero de 2017

Que no te pase lo mismo que a Bullrich: Hardening de Twitter


Salgo de una reunión y veo inundados mis medios de comunicaciones digitales con el mensaje: “Hackearon la cuenta de Twitter de Patricia Bullrich (Ministra de Seguridad de Argentina)”.

Era temprano en la tarde del jueves y muchos de mis colegas estaban revolucionados con el tema. Mientras algunos insistían con que la cuenta había sido hackeada, otros corregían la frase indicando: “Gente, dejen de bol... con los "hack" de twitter. Si haces clic en cualquier cosa, usas la misma pass y no usas doble autenticación, jodete!”. Más tarde, en el entorno de la funcionaria, surgiría la hipótesis de que la cuenta de twitter fue vulnerada mediante un ataque de phishing.

Una vez obtenido el acceso a la cuenta de Bullrich, fueron nueve tuits que el o los atacantes enviaron. En su mayoría, en contra del Gobierno de Mauricio Macri. Siendo el primero el de mayor impacto para aquellos que no están en el submundo de la seguridad informática: “Hago de manera oficial mi renuncia como ministra de seguridad". A tal punto fue así que al día siguiente le pregunté a algunos de mis familiares y amigos si se enteraron de qué pasó con Bullrich y me dijeron “Sí, renunció la Ministra de Seguridad”.

¿Qué tan grave fue?

Creo que estamos de acuerdo al afirmar que lo que pasa en el ámbito de lo digital cada día tiene mayor impacto en el mundo material. Sin ir más lejos, algunos ya consideraban real la renuncia enviada en el primer mensaje.

Según la víctima no fue tan grave como si hubiera sucedido con una cuenta oficial: “Por supuesto todos estos temas tienen que ser investigados, no tanto por mi cuenta sino por lo que significa mi investidura como ministra de Seguridad. En este caso era mi cuenta personal, una cuenta normal con una clave normal" y otro mensaje donde indica “Me pueden hackear las veces que sea". Vale aclarar que es una cuenta verificada, utilizada para su actual función y que tiene más de 326.000 seguidores.

¿Qué hacer si “hackearon” la cuenta de Twitter oficial de nuestra organización o de alguna persona relevante de ésta?

En caso de que la cuenta ya haya sido hackeada (término usado por Twitter) hay que seguir los pasos de este enlace: https://support.twitter.com/forms/hacked

¿Qué hacer para evitar que eso ocurra (o vuelva a ocurrir)?

Conociendo de antemano que los métodos más comunes son la utilización de trampas de phishing y la utilización de fuerza bruta contra la contraseña, estas son las recomendaciones que da Twitter, en particular para las cuentas verificadas, ya que son más propensas a ser atacadas:

  • Activa la verificación de inicio de sesión para poner en práctica un segundo control de seguridad al momento de iniciar sesión. Encontrarás las instrucciones correspondientes aquí.
  • Ten precaución si vas a permitir el acceso a tu cuenta a las aplicaciones de terceros. Revisa tus conexiones con frecuencia y revoca el acceso de cualquier aplicación que no conozcas. Obtén más información aquí.
  • Asegúrate de que la dirección de correo electrónico asociada a tu cuenta sea segura. Este artículo incluye un resumen de consejos para mantener la seguridad de tu cuenta.

Son tres medidas que todo community manager debería aplicar sobre las cuentas que administra, como también así cualquier persona que gestione su propias cuentas de redes sociales para hacer los comunicados oficiales. Se debería sumar contar con una contraseña segura y cambiada periódicamente si queremos hablar de seguridad en capas.

Pero si realmente queremos hablar de seguridad multinivel, me remito a esta frase previa para hacer énfasis en la medida que muchas veces se olvida: las personas

“Gente, dejen de bol... con los "hack" de twitter. Si haces clic en cualquier cosa, usas la misma pass y no usas doble autenticación, jodete!”.
Mientras no se incluya a las personas en las medidas de seguridad y no se vean ellos mismos comprometidos como parte de la protección, vamos a seguir teniendo estos casos.

Lamentablemente en muchos casos no son conscientes del valor que tiene su identidad digital para ellas mismas y para su organización (Según la propia Ministra: “era mi cuenta personal, una cuenta normal con una clave normal”).

¿Cómo incluir a las personas en la estrategia de seguridad?

Antes que nada, estableciendo la línea base, es decir, conociendo el estado de situación de las personas de la organización en lo referido a capacitación y conciencia en seguridad informática.

Esto se puede lograr tanto con encuestas y evaluaciones como con simulaciones de ataques reales. Por ejemplo, en la plataforma de SmartFense, puede poner a prueba a todas las personas de tu organización, incluyendo a los community managers, para ver si caerían en la misma trampa que supuestamente cayó el equipo de la Ministra. Esto se realiza mediante una campaña de simulación de Phishing, la cual, sin capturar los datos reales de los usuarios, permite conocer qué usuarios abrieron el email de phishing, hicieron click sobre el enlace, completaron los datos y hasta descargaron un archivo ejecutable (si corresponde).

Los datos encontrados en este tipo de acciones son reveladores, en muchos casos más sorprendentes de lo que uno creía a priori. Pero lo importante es no quedarse allí y avanzar en mejorar ese estado de situación. Para esto, debe desarrollarse un programa específico, con campañas tanto de capacitación como de concientización, con el objetivo de mejorar los hábitos de los usuarios y comprobar su asimilación haciendo uso de nuevas simulaciones. Si bien esto puede parecer un arduo trabajo, existen herramientas como SmartFense pensadas para facilitar esta tarea, permitiendo llevar adelante un programa como el descrito con el mínimo esfuerzo y con métricas en tiempo real.

Incluye a las personas en tu estrategia de seguridad y deja de ser el único responsable de la seguridad de la información en tu organización.

0 comentarios:

Publicar un comentario