LeakedSource afirma que una base de 32 millones de credenciales de Twitter está en venta en el underground, e incluye datos como nombres de usuario, direcciones de correo electrónico y contraseñas en texto plano.
¿Entonces Twitter fue comprometido?
Sacar esa conclusión demasiado rápido puede ser poco sabio.
Tanto LeakedSource como Twitter parecen estar seguros de que Twitter no fue comprometido. En cambio, parece más probable que las credenciales hayan sido arrebatadas por código malicioso que infectó las computadoras de los usuarios o robadas tras una brecha de datos en un sitio de un tercero.
Michael Coates, Trust & Info Security Officer de Twitter, usó la plataforma para tranquilizar a los usuarios ayer...
We have investigated reports of Twitter usernames/passwords on the dark web, and we're confident that our systems have not been breached.
— Michael Coates ஃ (@_mwc) 9 de junio de 2016
… y luego publicó un post en el blog de la compañía:
Investigamos los avisos de que nombre de usuario y contraseñas de Twitter estaban disponibles en la "dark web", y estamos seguros de que la información no fue obtenida por un ataque a los servidores de Twitter.
Los nombres de usuario y contraseñas implicados pueden haber sido recolectados al combinar información de otras brechas recientes, malware en las computadoras víctima que esté robando contraseñas de todos los sitios, o una combinación de los dos.
Sin importar el origen, estamos actuando con rapidez para proteger tu cuenta de Twitter.
La compañía dice que cualquiera cuyas credenciales fueron expuestas tuvo el acceso a su cuenta bloqueado como medida preventiva, y que se enviaron correos electrónicos a los usuarios con instrucciones para restablecer sus contraseñas.
Está bien, entonces tal vez Twitter no fue atacado. Pero ¿son legítimas las credenciales robadas?
Es poco probable que todas las contraseñas incluidas en el listado le permitan a los cibercriminales acceder a las cuentas asociadas, ya sea porque los datos son incorrectos o están desactualizados.
Pero si los usuarios tenían la misma contraseña en diferentes cuentas online asociadas al mismo usuario o correo electrónico, podrían estar en riesgo.
Lo cierto es que simplemente no sabemos qué proporción de las contraseñas incluidas en la base de datos son legítimas. La única compañía que puede confirmarlo es la propia Twitter.
Lo que estaría mal (y constituiría un crimen de acceso no autorizado en muchos países del mundo) sería tomar la base de datos y probar cada contraseña con su cuenta asociada.
Por tal motivo, LeakedSource tuvo que contactar manualmente a 15 de las personas incluidas para verificar si se trataba de su contraseña real. Todos contestaron que lo era.
En el comunicado publicado por Twitter hoy, la compañía reafirmó que no había sido atacada, pero omitió notablemente dar un número de cuentas cuyas credenciales fueron expuestas:
En cada una de las recientes revelaciones de contraseñas, verificamos los datos con nuestros registros. Como resultado, un grupo de cuentas de Twitter fueron identificadas para protección adicional. Cuentas con exposición directa de contraseña fueron bloqueadas y requieren un restablecimiento de contraseña por parte del dueño de la cuenta.
En otras palabras, Twitter se niega a decir cuántas cuentas estuvieron en riesgo tras la distribución de la base de credenciales en el underground, pero al menos "un grupo" de las 32 millones de credenciales eran válidas, y podrían haber permitido el acceso no autorizado de atacantes a las cuentas.
¿No tuvieron muchas celebridades sus cuentas comprometidas por estos días? ¿Está todo relacionado?
¿Te refieres a Mark Zuckerberg, Kylie Jenner, Katy Perry, Keith Richards, George Harrison, Chelsea Handler y el cofundador de Twitter Evan Williams? (Podría seguir…)
Sí, hubo muchas cuentas de alto perfil comprometidas últimamente. Pero no está claro cuánto de esto se debe a la reutilización de contraseñas, a las recientemente reportadas filtraciones de credenciales de sitios como LinkedIn, MySpace y Tumblr o a la actual venta de datos en el underground.
Entonces, ¿qué es lo que está claro?
Está claro que no son suficientes las personas que se toman la seguridad de sus cuentas en serio. Y con eso me refiero a tener contraseñas únicas, difíciles de descifrar, para cada cuenta online (un gestor de contraseñas puede ayudarte con esto).
Y para que sepas cuándo una contraseña es segura y cómo crear una que te sea fácil de recordar, mira el siguiente video:
LeakedSource reveló las contraseñas más comunes en la base de datos que circula y es una lectura deprimentemente previsible, al igual que sucede desde hace años:
Claves de una calidad tan baja como esta son tan fuertes como un pañuelo de papel.
Pero más que eso, la seguridad de una cuenta es habilitad la verificación en dos pasos o la doble autenticación cuando esté disponible para gozar de un nivel de protección mayor que el que ofrece la contraseña por sí sola.
Twitter llama a su versión de este sistema “Verificación de inicio de sesión” y requiere que los usuarios no solo ingresen nombre de usuario y contraseña al conectarse al sitio, sino también que ingresen un código de uso único que se envía como SMS a sus teléfonos móviles o a través de una aplicación para smartphones como Google Authenticator.
El principio es que incluso si un atacante obtiene tu contraseña, no es probable que también tenga acceso a tu dispositivo móvil, po lo que no podrá acceder a tu cuenta.
Francamente, estás jugando un juego peligroso si tienes cuentas de redes sociales y no estás usando capas adicionales de defensa para prevenir que sean comprometidas por atacantes.