El pirateo de la cuenta de la agencia de noticias Associated Press (AP) en Twitter, que distorsionó los mercados con un tuit falso sobre un atentado a la Casa Blanca, colocó en el banquillo a la seguridad de la red social.
El mercado de acciones se vio alterado el martes por el tuit falso, y AP posteó un mensaje en Twitter para señalar que su cuenta “que había sido suspendida tras ser pirateada, ha sido asegurada y está de vuelta”.
El martes, una breve alerta de la cuenta @AP afirmaba: “Alerta: dos explosiones en la Casa Blanca y Barack Obama herido”.
Casi inmediatamente, la agencia de noticias publicaba en su cuenta de comunicación corporativa que @AP en Twitter había sido pirateada, antes de suspender rápidamente el servicio.
“Advertencia: el Twitter de @AP ha sido pirateado. El tuit de un ataque a la Casa Blanca es falso. Contaremos más cuando sea posible”, publicó @AP_CorpComm.
Los activistas en línea que apoyan el régimen del presidente Sirio, Bashar al Asad, reclamaron más tarde la autoría del ataque, el último de una serie de intervenciones contra grandes empresas de información.
Estos activistas sirios revindicaron el haber pirateado la cuenta de AFP en Twitter en febrero pasado.
Lo que queda pendiente entonces son interrogantes acerca de si hay suficiente seguridad en Twitter y otras redes sociales en una era en la que cada vez más gente se vuelca a ellas para comunicarse con amigos, extraños y obtener información y noticias.
Twitter afirma que evaluar y mejorar las defensas del servicio sigue siendo una prioridad y que el hackeo de la cuenta de AP no impulsó acciones inmediatas para aumentar la seguridad.
Al parecer la cuenta de AP fue pirateada tras obtener una clave a través de un e-mail engañoso, algo que se conoce como “phishing”.
Algunos informes online indicaban que Twitter consideraba “autentificar con dos factores”, lo que requeriría que los usuarios hagan algo más que escribir su contraseña para ingresar a sus cuentas.
“Cuando uno mira el problema en forma masiva, lo más crítico que vemos es que la gente tiene contraseñas horrendas que usa en toda la web”, dijo Mark Risher, titular y fundador de Imperium, una firma de seguridad en Internet.
Incorporar un segundo paso, como el envío de un código de confirmación en un mensaje de una cuenta de e-mail o teléfono móvil asociado a la cuenta del usuario es un gran avance, pero aún así esa defensa es imperfecta, dijo.
Los ataques de “phishing” son cada vez más sofisticados y convincentes, a veces con información obtenida de las redes sociales para hacerlos más personales y creíbles, de acuerdo con Risher.
Una persona timada para que brinde una clave a los hackers podría fácilmente otorgar otro poco de información necesaria para meterse en una cuenta, señaló.
“Uno no puede esperar que los usuarios nunca van a ser engañados, porque siempre lo van a ser”, dijo Risher. “Los proveedores de servicios nunca deberían estar satisfechos con una clave”.
No obstante, “hay una brecha entre la conveniencia y la seguridad”, señaló. “Es como ponerle cinco pasadores con candado a la puerta. Haría que uno esté más seguro pero realmente sería un fastidio si uno quiere ir a la tienda de la esquina”.