El caso que vamos a contar a continuación y que ocurrió hace unos pocos minutos, no es ni más ni menos que un nuevo ataque hacktivista, algo que ya hemos venido observando el último tiempo. Sin embargo, por las características de cómo el ataque fue usado, vale la pena una mención. Resulta que como parte de la campaña #OpMadCow, un grupo de Anonymous ingresó y tomó control de la cuenta oficial de Burger King, aparentemente, a través de una contraseña débil (aparentemente utilizaba la palabra "whopper"). Sin embargo, más allá del daño a la imagen de marca que causa este tipo de incidentes, en este caso los atacantes se tomaron el trabajo de modificar toda la cuenta para hacer publicidad del principal competidor de la marca: McDonald's.
Como se puede observar, los atacantes pusieron en la cuenta oficial (@BurgerKing) el logo, el nombre y el sitio web de la competencia. Este incidente es uno más de los que ocurren diariamente a personas que no utilizan contraseñas fuertes en sus servicios críticos, y en el caso de cuentas corporativas se pone más en evidencia la criticidad del caso.
Las campañas de concientización en seguridad son un pilar esencial en cualquier Sistema de Gestión de la Seguridad de la Información, y en este caso se pone en evidencia cómo educar sobre el uso de contraseñas a un Community Manager puede ser tan importante como para un administrador de red.
En el estudio de análisis de riesgos siempre es recomendable estimar cuál podría ser el costo de un incidente informático, a veces se hace muy difícil estimar cuestiones como la imagen de marca. No obstante, es bueno hacer el ejercicio y tenerlo en cuenta al menos en valoraciones cualitativas, ya que a pesar de la dificultad de medirlo, asumo que pocos especialistas en marketing desearán este tipo de imagen y los comentarios que están circulando ahora en Internet.
Al momento, en menos de media hora del ataque, la cuenta de Twitter ya sumó más de 9 mil nuevos followers, por lo que algunos ya están hablando de un "hackeo voluntario" (cuestión poco probable aunque las hipótesis siempre aparecen en la red) o, quizás más probable aún, de los efectos colaterales positivos de un incidente de este tipo, lo cual podría no ser tan correcto.
Finalmente, para completar las lecciones aprendidas y aprovechando el comentario anterior, será responsabilidad de Burger King recuperar el control de la cuenta y aprovechar esos nuevos followers, cuestión que podría trabajarse si se posee un plan de respuesta a incidentes para actuar ante este tipo de infortunios. Además, recordamos a los lectores, que hoy es feriado en Estados Unidos por lo tanto habrá que analizar cuál es el tiempo de recuperación que puede llevar este incidente.
En fin, un nuevo caso de un ataque hacktivista que, por sus características, ha despertado muchas opiniones en las redes sociales que seguramente serán perjudiciales para la empresa. Estos casos no solo reflejan la mala elección de claves, sino que, además, sirven para comenzar a comprender la importancia de hacer uso de los mecanismos de doble autenticación siempre que estén disponibles, ya que agregan un nivel más de seguridad a las contraseñas ordinarias. Por lo tanto, si tienes una contraseña débil en Twitter, es hora de cambiarla. Y si eres Community Manager, ¡date prisa!
Actualización 18:04hs.: Finalmente luego de al menos 3 horas, la cuenta de Twitter está momentaneamente suspendida.
Sebastián Bortnik
Gerente de Educación y Servicios