El secuestro de perfiles en redes sociales puede ser un arma política
Activistas y opositores de gobiernos en países como Venezuela, Baréin y Birmania han sufrido un ataque digital, conocido como Double Switch, que secuestra y suplanta sus perfiles de redes sociales.
Santiago La rotta
En los últimos meses, los técnicos de la organización Access Now recibieron varias alertas sobre secuestro y suplantación de perfiles en redes sociales. Las denuncias llegaron de países como Venezuela, Honduras, Guatemala, Birmania y Baréin. Los denunciantes típicamente fueron periodistas, activistas, defensores de derechos humanos u opositores de los gobiernos locales.
“El proceso de investigación forense puede tomar varios meses. Logramos identificar qué técnicas utilizaron los atacantes y procedimos a alertar a las empresas y a los usuarios. En algunos casos no se logra conocer la identidad de los atacantes, aunque es llamativo que las víctimas sean opositoras de gobiernos”, cuenta Javier Pallero, analista de políticas de esta organización, que compiló sus hallazgos en un informe reciente.
Access Now es una organización con un fuerte énfasis en temas de seguridad digital y derechos fundamentales en internet. En el pasado ha colaborado con instituciones como el Citizen Lab de la Universidad de Toronto para denunciar, por ejemplo, cómo fueron intervenidas las comunicaciones de activistas mexicanos con software comprado por autoridades de ese país.
El proceso de verificación de un ataque empieza, usualmente, por iniciativa de los mismos usuarios, quienes sospechan que su información o comunicaciones han sido intervenidas ilegalmente por un agente externo y notifican a organizaciones como Access o el Citizen Lab.
En este caso particular, dos de las denuncias llegaron de Venezuela, en donde una periodista y un diputado de oposición sufrieron un secuestro de sus perfiles en redes sociales mediante una modalidad denominada Double Switch.
En esencia, este ataque explota una vulnerabilidad en los protocolos de recuperación de información de un usuario de Twitter, Facebook o Instagram para capturar una cuenta y después utilizar el nombre del usuario en un perfil nuevo que puede ser usado para diseminar información falsa.
En un primer instante, el ataque se vale de un correo malicioso para capturar los datos de una cuenta: quien hace clic en el enlace es redirigido a una página que simula ser el portal de registro de una red social. Una vez se tienen los datos de acceso (usuario y contraseña), los atacantes cambian el nombre del usuario de la cuenta secuestrada y proceden a abrir un perfil nuevo con este nombre.
Se entiende mejor con un ejemplo. El diputado Miguel Pizarro hace parte de la Mesa de Unidad Democrática, una coalición política de oposición en Venezuela. Su nombre original de usuario era @Miguel_Pizarro y, luego de que se cuenta de Twitter fuera intervenida, en enero de este año, pasó a ser @PizarroPSUV.
PSUV son las siglas del Partido Socialista Unido de Venezuela, el movimiento oficialista al cual pertenece el presidente Nicolás Maduro. Este cambio, claramente, busca confundir a la audiencia y desacreditar a un diputado de oposición. Las motivaciones políticas del ataque se entienden mejor desde esta perspectiva, aunque hay que aclarar aquí que el informe de Access Now no vincula la intervención de los perfiles con una maniobra orquestada desde el gobierno venezolano.
Pallero señala que la respuesta de Twitter a estos incidentes ha sido “muy buena”. La empresa “colabora mucho para recuperar las cuentas de estos usuarios, que en algunos casos tenían perfiles verificados. Pero hay cosas que se pueden hacer mejor, como implementación de buenas prácticas”. (Lea "Lo que viene después de Wannacry")
El experto asegura que, por ejemplo, es de gran ayuda que los usuarios cuenten con verificación en dos pasos: luego de introducir usuario y contraseña en un sitio se envía un código único a un teléfono celular registrado; sin este número es imposible acceder al servicio. “Otro de los aspectos a mejorar es demorar el tiempo que pasa entre el cambio de nombre de un usuario y la reutilización de ese nombre, porque la inmediatez de esta modificación es lo que habilita este tipo de ataques”, explica Pallero.
En los últimos meses, los técnicos de la organización Access Now recibieron varias alertas sobre secuestro y suplantación de perfiles en redes sociales. Las denuncias llegaron de países como Venezuela, Honduras, Guatemala, Birmania y Baréin. Los denunciantes típicamente fueron periodistas, activistas, defensores de derechos humanos u opositores de los gobiernos locales.
“El proceso de investigación forense puede tomar varios meses. Logramos identificar qué técnicas utilizaron los atacantes y procedimos a alertar a las empresas y a los usuarios. En algunos casos no se logra conocer la identidad de los atacantes, aunque es llamativo que las víctimas sean opositoras de gobiernos”, cuenta Javier Pallero, analista de políticas de esta organización, que compiló sus hallazgos en un informe reciente.
Access Now es una organización con un fuerte énfasis en temas de seguridad digital y derechos fundamentales en internet. En el pasado ha colaborado con instituciones como el Citizen Lab de la Universidad de Toronto para denunciar, por ejemplo, cómo fueron intervenidas las comunicaciones de activistas mexicanos con software comprado por autoridades de ese país.
El proceso de verificación de un ataque empieza, usualmente, por iniciativa de los mismos usuarios, quienes sospechan que su información o comunicaciones han sido intervenidas ilegalmente por un agente externo y notifican a organizaciones como Access o el Citizen Lab.
En este caso particular, dos de las denuncias llegaron de Venezuela, en donde una periodista y un diputado de oposición sufrieron un secuestro de sus perfiles en redes sociales mediante una modalidad denominada Double Switch.
En esencia, este ataque explota una vulnerabilidad en los protocolos de recuperación de información de un usuario de Twitter, Facebook o Instagram para capturar una cuenta y después utilizar el nombre del usuario en un perfil nuevo que puede ser usado para diseminar información falsa.
En un primer instante, el ataque se vale de un correo malicioso para capturar los datos de una cuenta: quien hace clic en el enlace es redirigido a una página que simula ser el portal de registro de una red social. Una vez se tienen los datos de acceso (usuario y contraseña), los atacantes cambian el nombre del usuario de la cuenta secuestrada y proceden a abrir un perfil nuevo con este nombre.
Se entiende mejor con un ejemplo. El diputado Miguel Pizarro hace parte de la Mesa de Unidad Democrática, una coalición política de oposición en Venezuela. Su nombre original de usuario era @Miguel_Pizarro y, luego de que se cuenta de Twitter fuera intervenida, en enero de este año, pasó a ser @PizarroPSUV.
PSUV son las siglas del Partido Socialista Unido de Venezuela, el movimiento oficialista al cual pertenece el presidente Nicolás Maduro. Este cambio, claramente, busca confundir a la audiencia y desacreditar a un diputado de oposición. Las motivaciones políticas del ataque se entienden mejor desde esta perspectiva, aunque hay que aclarar aquí que el informe de Access Now no vincula la intervención de los perfiles con una maniobra orquestada desde el gobierno venezolano.
Pallero señala que la respuesta de Twitter a estos incidentes ha sido “muy buena”. La empresa “colabora mucho para recuperar las cuentas de estos usuarios, que en algunos casos tenían perfiles verificados. Pero hay cosas que se pueden hacer mejor, como implementación de buenas prácticas”. (Lea "Lo que viene después de Wannacry")
El experto asegura que, por ejemplo, es de gran ayuda que los usuarios cuenten con verificación en dos pasos: luego de introducir usuario y contraseña en un sitio se envía un código único a un teléfono celular registrado; sin este número es imposible acceder al servicio. “Otro de los aspectos a mejorar es demorar el tiempo que pasa entre el cambio de nombre de un usuario y la reutilización de ese nombre, porque la inmediatez de esta modificación es lo que habilita este tipo de ataques”, explica Pallero.