Twitter: Un campo minado para la seguridad

A medida que Twitter incrementa su popularidad y se expande, el servicio de microblogging se convierte en blanco mayor de programas maliciosos y estafas.

En junio, el mundo presenciaba cómo Twitter se inundaba con los tweet generados desde las calles de Teherán. Los usuarios frecuentes de Twitter—y hasta personas que nunca habían oír hablar del servicio de microblogging—fueron testigos inmediatos y simultáneos de su potencial.

[<img border="0" src="/pcwla2.nsf/0/3482FD78EBF15434852576210013EF4C/$File/65twwetersep09.gif">]

Al mismo tiempo, los proveedores de programas antivirus alertaban sobre nuevos ataques de phishing que se diseminaban a través de Twitter. Los phishers usaban las cuentas de Twitter para seguir a los usuarios y luego infectarlos mediante un vínculo a una página de perfil falso, cargada de programas maliciosos. Al igual que sucedía anteriormente con los mensajes instantáneos, MySpace y Facebook (vea find.pcworld.com/63293), Twitter había llegado a la mayoría de edad.

El crecimiento meteórico de Twitter en 2009 ha sido convulso. Aparte de los problemas de tamaño, derivados de la afluencia de usuarios, en enero un pirata (find.pcworld.com/63300) comprometió las cuentas de 33 usuarios de alto perfil, que incluía la del presidente Barack Obama, el comentarista Rick Sanchez de la CNN y la cantante Britney Spears.

En abril, apareció un gusano de Twitter conocido como “Mikeyy” o “StalkDaily”. Twitter lo eliminó con bastante rapidez—además de unos cuantos virus similares. Biz Stone, cofundador del sitio, escribió en el blog de la compañía, “Twitter se toma la seguridad muy en serio y seguiremos vigilantes en todos los frentes”.

Peligros de URL recortados

La expansión de los servicios de acortamiento de URL marcha paralelo al crecimiento de Twitter. Resumir ideas en 140 caracteres requiere práctica del usuario; pero incluir los URL completos es casi imposible. Por lo general se necesitan truncar los URL mediante servicios como Bit.ly y TinyURL.com, que también esconden el URL de destino real y, como resultado, potencian sus propios problemas de seguridad.

En junio, Twitter se vió arrastrado por una ola de URL ocultos y envenenados que se valía de vínculos de Bit.ly a los dominios de low.cc y myworlds.mp, y pedía a los usuarios descargar un archivo para ver un vídeo. Este archivo contenía programas maliciosos. Bit.ly y TinyURL han tomado medidas; Bit.ly, por ejemplo, ahora bloquea los dominios de low.cc y myworlds.mp.

Hay por lo menos un producto de seguridad, ZoneAlarm, que bloquea el acceso a TinyURL.com de modo predeterminado (usted puede desbloquearlo). TinyURL cuenta con una característica de vista preliminar y Firefox tiene un complemento de vista preliminar para Bit.ly. Algunas aplicaciones de Twitter, como TweetDeck y Tweetie, ofrecen también un avance del URL antes de pulsarlo.

A la hora del cierre, Avi Raff de RSA anunciaba “Un mes de errores en Twitter” (find.pcworld.com/63301), durante el cual los investigadores se proponen revelar una nueva vulnerabilidad de Twitter todos los días. Raff dice que su objetivo no es romper a Twitter sino mejorarlo y exponer todos los defectos de las redes sociales, y citó esfuerzos previos, enfocados en las vulnerabilidades de navegadores y del Apple Mac OS. “Yo espero que Twitter y otros proveedores de API de la Web 2.0 trabajen estrechamente con sus consumidores de API para desarrollar productos más seguros”. El primer defecto descubierto en Twitter tenía que ver con los errores de guiones de sitios cruzados en Bit.ly. A pocas horas del descubrimiento, Bit.ly los corrigió.

Sígame, por favor

El objetivo más frecuente de los usuarios de Twitter es acumular seguidores; y algunas personas consideran que pueden tener un perfil exitoso si arrastran cientos e incluso miles de seguidores. Un sitio llamado TwitterCut prometía en un anuncio aumentar la base de seguidores de los usuarios, si estos brindaban su nombre de usuario y contraseña. Mundos proveedores de seguridad consideraron que se trataba de una estafa de pago por clic.

Quienes cayeron en la trampa, vieron cómo sus cuentas de Twitter eran utilizadas más tarde en un ataque de phishing, mediante el cual todo el que pulsara un vínculo en el tweet terminaba por descargar un PDF malicioso que a su vez intentaba instalar un producto falso de seguridad si la PC no estaba actualizada con la última seguridad de Adobe.

De pesca

Sin embargo, la mayoría de los intentos de phishing en Twitter son más directos. Rutinariamente, Twitter notifica por correo electrónico a los usuarios sobre nuevos seguidores, casi siempre con un vínculo al perfil del seguidor. Los recientes ataques de phishing simulan este correo electrónico y contienen un vínculo a la página de conexión falsa de Twitter.

Otra variación envía el tweet, “Hola, mira este cómico blog que han escrito de ti”. Cuando la víctima pulsa el URL, va a parar a una página falsa (en twitter.access-logins.com/login/). Por bueno que parezca el sitio, examine el URL y piénselo dos veces antes de escribir información alguna—especialmente si ya está conectado a Twitter.

Los malhechores también han probado tácticas más sutiles, como el juego del nombre pornográfico (vea find.pcworld.com/63299). Según el juego, para crear el nombre que usted debería usar durante su carrera de películas de adultos, usted toma el nombre de su primera mascota y lo combina con el nombre de la calle donde creció, el nombre de soltera de su madre, o el modelo de su automóvil. ¿Reconoce esas cosas? Se tratan de preguntas comunes de seguridad. Cuando envía sus respuestas por tweet, podría estar revelando el acceso a su cuenta de Twitter—o a su cuenta de banco.

Algunas de las reglas emergentes de seguridad para usar Twitter son de sentido común. Como mismo usted no dejaría un mensaje telefónico diciendo que salió de viaje, no envíe tweets de lo que planea hacer en sus vacaciones. Y por favor, no comparta su ubicación si usted es un congresista de EE.UU. y viaja por el extranjero de forma confidencial. Si no, pregúntele al representante Pete Hoekstra (R -MI), quien envió un tweet a principios de año: “Acabo de aterrizar en Bagdad. Creo que es la primera vez que el servicio de BlackBerry funciona en Iraq”.

Usted ha oído todos los argumentos a favor de las herramientas antivirus y otros protectores de PC. Pero hoy en día algunos expertos de seguridad no usan aplicaciones antivirus. ¿Le sorprende? Entérese de más detalles en find.pcworld.com/63303.

-Por Robert Vamosi

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.