En los últimos días una noticia ha acaparado la atención de los medios de comunicación sobre tecnología: el acceso indebido al panel de control de Twitter, para algunos mal llamado el "hackeo a twitter".

El ataque a la red social, reconocido por la misma empresa, se hizo público luego que un joven publicara más de 20 imágenes del panel de administración de Twitter:

Twitter - Panel de administración

Por suerte para la empresa afectada, el atacante no tenía más intenciones que publicar las imágenes y, según la empresa, "no fue modificada ni eliminada ningún tipo de información", y solo fueron de visualización las tareas realizadas por el intruso.

Luego de haberse hecho público el incidente, fueron muchas las hipótesis sobre cómo se había logrado el acceso: una vulnerabilidad, un ataque XSS, un ataque de fuerza bruta, etc. Sin embargo, he aquí lo ocurrido...

Resulta que el atacante utilizó la pregunta secreta de una cuenta de Yahoo de un empleado de Twitter (que registró en su cuenta el incidente), y logró acceder a los correos electrónicos del usuario. Dentro de su cuenta, el usuario poseía la contraseña de acceso a la administración de la red social, que fue utilizada por este intruso para hacer las capturas y publicarlas en la web.

En resumen, no estamos hablando de vulnerabilidades ni de grandes complicaciones técnicas. Estamos hablando de  Ingeniería Social. Esas palabras que desde el equipo de laboratorio de ESET Latinoamérica les mencionamos tan frecuentemente, es una de las claves del éxito de tantos incidentes de seguridad.

Las preguntas secretas son un flanco utilizado frecuentemente por los atacantes. Así como los usuarios deben tener cuidado respecto a la seguridad de sus contraseñas, también debe ser considerada la seguridad de su pregunta secreta, ya que esta permite el acceso a la cuenta sin necesidad de conocer la contraseña. Preguntas no tan secretas son un riesgo para la seguridad.

Las personas son un punto crítico para la seguridad, y por lo tanto, es imperioso combinar las herramientas de seguridad con la educación y concientización de los usuarios.

Sebastián