Como ya sabrás, hace apenas unos meses varias cuentas de celebrities y famosos en Twitter fueron hijackeadas (es decir, secuestradas) durante unas horas, debido a esto, hacemos un repaso de tips para proteger las cuentas y perfiles en redes sociales.
Hablamos de ello por estos lares, haciendo hincapié en el modus operandi de los atacantes (pura ingeniería social), los objetivos (en primera instancia publicar un tweet desde todas esas cuentas incitando a donar dinero a una cuenta de bitcoin, y por detrás seguramente robar información confidencial de los MPs de dichas cuentas) y sobre todo el papel de culpabilidad que tenía la plataforma en todo esto, demostrándose que internamente las medidas de seguridad y las herramientas de moderación a las que acceden sus trabajadores son de todo menos adecuadas para el impacto mundial que tiene la red de microbloging.
Tras el suceso, como era de esperar, en Twitter se están poniendo las pilas, y recientemente, poniendo de excusa las próximas elecciones estadounidenses, han publicado una serie de recomendaciones de seguridad enfocadas a proteger las cuentas VIP (EN).
La cuestión es que revisando las recomendaciones que dan, me doy cuenta de que prácticamente todo lo que recomiendan es, de forma resumida y sin entrar por supuesto en mucha profundidad, lo mismo que un servidor ofrece en los capítulos dedicados a redes sociales de mi Curso sobre Seguridad y Privacidad en Internet.
Y es que esas mismas recomendaciones enfocadas a perfiles con mucha carga pública se pueden aplicar perfectamente a cualquier otra cuenta, sea en Twitter por cierto, o en cualquier otra red social.
Así que a modo de resumen, vamos a repasarlas una a una, para dejar por aquí esta pieza como una suerte de resumen sintético que debes revisar para cerciorarte de proteger las cuentas y perfiles que tengas en redes sociales adecuadamente.
¡Vamos a ello!
Índice de contenido
- LA SEGURIDAD DE LA CONTRASEÑA
- LA AUTENTICACIÓN EN DOS PASOS ES TU AMIGA
- EL CORREO O EL NÚMERO DE TELÉFONO DE RESTABLECIMIENTO DE CONTRASEÑA
- CUIDADO CON LOS ENLACES SOSPECHOSOS
- TUS CREDENCIALES DE ACCESO SON SOLO TUYOS
- SISTEMA OPERATIVO, APLICACIONES Y HERRAMIENTAS ACTUALIZADAS
- VIGILA TU PRESENCIA DIGITAL
- CONCLUSIONES
LA SEGURIDAD DE LA CONTRASEÑA
Los chicos de Twitter recomiendan una contraseña de al menos de 10 caracteres, con combinación de mayúsculas, minúsculas, números y símbolos, sin información personal en ella ni palabras comunes y sin secuencias predecibles como números en orden o letras ordenadas alfabéticamente.
La realidad es que, como ya hemos comentado en su día, para crear una contraseña segura basta con que:
- Dicha contraseña no se esté utilizando en ningún otro servicio.
- Tenga en efecto mientras más tamaño (en número de caracteres) mejor.
- Utilice en efecto mayúsculas, minúsculas, números y símbolos.
El que esté o no formada por palabras reales es casi lo de menos. Que sí, que en efecto es mejor que no fuera, pero también hay que recordar que parte del atractivo del sistema de verificación basado en el conocimiento (como son las contraseñas) es, como su propio nombre indica, que la podamos conocer. Y somos muy malos recordando series de caracteres aleatorios.
Eso, o mejor aún, pasar de un sistema de verificación basado en el conocimiento a uno basado en la posesión. ¿Que cómo? Pues simplemente delegando la creación de la contraseña a un gestor de contraseñas.
Así solo tendremos que recordar una contraseña (la del gestor de contraseñas), que el resto de trabajo lo hará el gestor.
LA AUTENTICACIÓN EN DOS PASOS ES TU AMIGA
Lo he repetido hasta la saciedad en cursos, charlas y talleres.
De hecho, es uno de mis Cuatro Pilares de la Presencia Digital Sana.
El sistema de seguridad que mayor impacto tiene en, valga la redundancia, la seguridad de un sistema, es el segundo factor de autenticación, también llamado autenticación en dos pasos o 2FA.
Gracias a él, si te roban el usuario y la contraseña (algo que probablemente tarde o temprano te vaya a pasar, si no te ha pasado ya), para que un tercero pueda entrar en tu cuenta va a necesitar robarte también tu número de teléfono y/o físicamente tu smartphone. Y eso ya no se puede automatizar (tienen que atacarte a ti personalmente).
Lo activas desde la sección de seguridad de tus perfiles (todas las redes sociales ya lo ofrecen), y te olvidas.
Fácil, sencillo, para todos los públicos.
EL CORREO O EL NÚMERO DE TELÉFONO DE RESTABLECIMIENTO DE CONTRASEÑA
No hay que olvidar que la seguridad de una cuenta depende de lo protegido que esté el sistema de identificación, que por regla general en redes sociales depende o bien de tu correo electrónico, o bien de tu número de teléfono.
Del segundo poco que hablar, ya que realmente no tenemos mucho control sobre su seguridad (depende más de la operadora de telecomunicaciones que nos suministra el servicio), pero sí es recomendable que, si por ejemplo tenemos un negocio o somos profesionales con mucha exposición pública, nuestro número de teléfono público (el que usamos en el día a día) no sea el mismo que utilizamos para loguearnos en nuestros perfiles.
Un servidor es lo que hace, de forma que para el mundo no expongo el número de teléfono que tengo asociado a las cuentas. Por 10 euros al año (5 euros cada 6 meses) tengo un número prepago que es el que utilizo para estos menesteres.
Pero sobre la seguridad del correo electrónico, deberíamos aplicar el punto 1 y 2 de este mismo tutorial:
- Una contraseña robusta.
- Proteger las cuentas de emails con doble factor de autenticación.
CUIDADO CON LOS ENLACES SOSPECHOSOS
La siguiente parada es una medida de seguridad básica para proteger las cuentas de cualquier ataque de phishing.
Básicamente, cualquier enlace que nos pasen por redes sociales o por email debemos considerarlo a priori como sospechoso. Más aún si nos pide datos para loguearnos.
Lo recomendable en este caso es, que si por ejemplo tenemos que entrar en twitter, seamos nosotros mismos quienes escribamos twitter.com en el navegador, y no entremos desde otro enlace de dudosa reputación.
De esta manera nos quitamos de un plumazo casi todos los ataques de ingeniería social.
TUS CREDENCIALES DE ACCESO SON SOLO TUYOS
Nunca des tu nombre de usuario y contraseña a terceros, especialmente a aquellos que prometen conseguir seguidores, ganar dinero o verificar su identidad.
Puede parecer un servicio serio, pero en el momento en que un tercero tiene acceso a tu cuenta, pierdes el control de la misma.
Si deseas otorgar acceso a una aplicación de terceros a tu cuenta, es más recomendable que lo hagas utilizando el método OAuth de la plataforma. Eso sí, revisa cada cierto tiempo (de nuevo desde el apartado de seguridad de tu perfil) qué servicios tienen acceso a tu cuenta, eliminando todos aquellos que no sepas quienes son o ya no los necesites.
Y hablo sobre todo de esos servicios a los que un día les diste acceso para saber a qué famoso te pareces, o qué porcentaje ideológico/político tienes, o simplemente para participar en un sorteo. Que bajo esa falsa tapadera de meme se esconde un negocio de robo masivo de datos para revenderlos a terceros.
SISTEMA OPERATIVO, APLICACIONES Y HERRAMIENTAS ACTUALIZADAS
No hay nada que ayude a proteger las cuentas más que el que tengas actualizados tus dispositivos. Tanto el sistema operativo, como el navegador, como las apps y herramientas que utilizas.
Ya si luego quieres además acompañarlo de un antivirus comercial, perfecto. Pero recalco que lo importante es lo primero (da más seguridad).
En cada actualización los desarrolladores arreglan fallos de seguridad, por tanto mientras no dejas a tu ordenador o tu móvil que se actualice, estás asumiendo riesgos que pueden comprometer tus cuentas en redes sociales o algo mucho peor.
VIGILA TU PRESENCIA DIGITAL
La mayor parte de cuentas comprometidas están siendo usadas para publicar basura en nombre de sus víctimas.
Este es el caso, por ejemplo, de todas esas cuentas, seguramente alguna de tus amigos, que de pronto te etiquetan en Facebook o Instagram avisándote de que se han comprado unas zapatillas Nike o unas gafas fashion en una pedazo de oferta.
Por supuesto no ha sido tu amigo quien lo ha hecho, sino un tercero que tiene acceso a su cuenta y publica automáticamente en su nombre.
Es por ello que no está de más de vez en cuando revisar qué has publicado con anterioridad, por si te encuentras algo que claramente no ha sido lanzado por tí.
CONCLUSIONES
Una serie de tips para proteger tus cuentas a los que añadiría los consejos enfocados a perfiles con una exposición pública alta (directivos, celebrities, famosos…) que publiqué ya hace un tiempo, y que siguen tan vigentes como el primer día.
Todo con el fin de que el día de mañana no tengas que contratarme para que te ayude a salir de una crisis reputacional.
Que suena muy lejos, pero te aseguro que le pasa tanto a famosos como a gente de la calle como tú o como yo.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Artículo previamente publicado en PabloYglesias.com
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.