Twitter cambia 140 millones de contraseñas de seguridad “por error”

El pasado jueves, la popular red social Twitter sufrió una nueva intrusión masiva en algunas cuentas que vieron su integridad comprometida. De hecho, responsables del propio Twitter admitieron que unos “hackers” habían protagonizado diferentes intrusiones en la red.  Por cierto, y aunque es un tema colateral, la palabra “hacker” no define por sí a un individuo que lleva a cabo actividades fraudulentas en la red. Al que lo hace, se le llama cibercriminal. Porque un hacker puede ser, perfectamente, blanco y no dañar, sino todo lo contrario.

Bien, hecho este primer paréntesis, sigamos con lo que ha sucedido. Bueno, pues tras conocer este incidente de seguridad, resulta que millones de usuarios activos o no pudieron acceder a su cuenta o recibieron un correo electrónico de parte de la popular red social donde se les indicaba que habían procedido a cambiar “por error” la contraseña mientras realizaban una supervisión de seguridad. Esta revisión tenía como objetivo identificar cuentas cuya privacidad se hubiera visto comprometida. Según Carolyn Penner, portavoz de Twitter, “en este caso, por error cambiamos la contraseña de una gran cantidad de cuentas, más de las que creíamos que estaban comprometidas», agregó. Carolyn Penner, portavoz de Twitter, declinó decir cuántas cuentas fueron afectadas. Asimismo, la compañía tampoco comentó los motivos que habían surgido para calificar algunas cuentas de usuarios como vulnerables o con problemas de seguridad.

eset españa nod32 antivirus problemas de seguridad en twitter

Según han añadido, este cambio en las contraseñas no tiene nada que ver con la intrusión que habían sufrido solo un día antes. En esta, muchos usuarios tuvieron múltiples problemas para acceder a su cuenta personal y, en otras ocasiones, eran redirigidos a un sitio de phishing o falso, que solo buscaba recopilar los datos de las víctimas que hasta allí llegaban.

Bueno, la verdad es que hasta aquí la actuación, aunque haya sido de forma preventiva, ha sido positiva, si no fuera porque seguramente el remedio puede haber sido peor que la enfermedad. Veamos… Los responsables de la red social han apuntado que, tras resetear millones de contraseñas, “enviamos un email al usuario para comunicarle lo que ha pasado junto a la información para crear una nueva contraseña». No quiero ni pensar en la gran cantidad de emails falsos de phishing que a estas horas deben de estar circulando por la Red solicitando a los usuarios que vayan a resetear sus contraseñas… solo que probablemente no les llevará al propio Twitter. No es descabellado: los cibercriminales van a aprovechar cualquier circunstancia para sacar partido de la actualidad y conseguir datos de más víctimas.

Recomendaciones básicas de seguridad en Twitter

Los diferentes fabricantes de responsabilidad así como las autoridades y otros organismos, además del propio Twitter, conscientes de los riesgos a los que estamos expuestos, llevamos tiempo recomendando seguir ciertas pautas básicas de seguridad que nos ayuden a mantener nuestra identidad digital a salvo. Así que te traemos a este blog las recomendaciones que te ayudarán a mantenerte en todo momento protegido y que también puedes encontrar en el sitio de Twitter:

  • Utiliza una contraseña fuerte.Cuando establezcas tu cuenta, asegúrate de elegir una contraseña fuerte (al menos 10 caracteres que incluyan letras mayúsculas y minúsculas, números y símbolos). Es altamente recomendable que utilices una contraseña única para cada uno de los sitios que visites, de forma que si una cuenta resulta afectada, las demás permanezcan seguras.
    • Ten cuidado con los enlaces sospechosos y siempre asegúrate de estar en Twitter.com antes de introducir la información de inicio de sesión. Ten cuidado con los enlaces extraños en mensajes directos: debes tener cuidado cuando hagas clic en enlaces raros en mensajes directos. Aunque un amigo te haya enviado el enlace, es posible que su cuenta esté comprometida y la URL haya sido enviado en realidad por un spammer.
    • Asegúrate de que estás en Twitter.com antes de iniciar una sesión: cuando te pidan que introduzcas tu contraseña de Twitter, examina la dirección que aparece en tu pantalla del navegador para asegurarte de que estás realmente en Twitter.com.

eset españa nod32 antivirus problemas de seguridad en twitter

Los dominios de Twitter siempre tendrán http://twitter.com/ como dominio de base. Estos son algunos ejemplos de las páginas de  inicio de sesión de Twitter:

Los sitios de phishing suelen parecerse a la página de inicio de sesión de Twitter, pero en realidad el sitio no es Twitter. Estos son algunos ejemplos de URL que NO son páginas de Twitter:

  • Inicia una sesión directamente en Twitter.com si no estás seguro: si alguna vez tienes dudas sobre un sitio web, escribe Twitter.com en la barra del navegador, presiona Enter e inicia una sesión directamente desde nuestra página de inicio.
  • No des tu nombre de usuario y contraseña a terceros en los que no confíes, en particular a los que prometen conseguirte seguidores o hacerte ganar dinero.
    • Twitter nunca se va a comunicar contigo por correo electrónico, salvo en el caso que hoy nos ocupa, como el restablecimiento de tu contraseña por motivos de seguridad. Según dicen en su página, “Twitter nunca te enviará ningún correo electrónico, mensaje directo ni @reply solicitándote tu contraseña. Nunca te pediremos que descargues algo ni que inicies una sesión en un sitio que no sea de Twitter. Nunca abras un archivo adjunto ni instales un software de un correo electrónico que alegue provenir de nosotros; eso no es cierto. Si sospechamos que tu cuenta ha sido víctima de phishing o piratería, es posible que restablezcamos tu contraseña para evitar que el hacker utilice tu cuenta en forma indebida. En este caso, te enviaremos un correo electrónico con un enlace donde podrás restablecerla. Una vez más, este enlace estará siempre en el sitio http://twitter.com/, y nunca te pediremos que nos envíes tu contraseña por correo electrónico, mensaje directo o mención. Si te olvidas la contraseña, puedes restablecerla tú mismo en este enlace.”
    • Mantén tu ordenador y tu navegador  actualizados y libres de virus. Instala un buen antivirus y mantén todas tus aplicaciones con sus parches instalados.
  • Ayuda a amigos y seguidores comprometidos. Si recibes un enlace extraño de seguidores y piensas que es un sitio de phishing o correo basura, ponte en contacto con ellos y sugiéreles que cambien su contraseña de inmediato. También puedes remitirlos a la página de ayuda para cuentas comprometidas para obtener más información.
  • Selecciona las aplicaciones de terceros con cuidado. Hay miles de aplicaciones y programas de terceros que puedes utilizar con tus cuentas de Twitter. Estas aplicaciones de desarrolladores externos están basadas en la plataforma de Twitter y te permiten hacer muchas cosas interesantes con tu cuenta. Sin embargo, debes tener cuidado antes de darle el control de tu cuenta a otra persona. Hay dos formas de dar acceso a tu cuenta a una aplicación. La primera es un protocolo seguro llamado OAuth. Esta es la forma de conexión recomendada, y no exige que des tu nombre de usuario y contraseña. La otra forma de conexión requiere que des tu nombre de usuario y contraseña de Twitter y se llama Autenticación Básica. Puedes obtener más información sobre OAuth y Autenticación Básica en nuestra página de ayuda de conexión a aplicaciones de terceros. Debes tener mucho cuidado cuando te pidan tu nombre de usuario y contraseña en una aplicación o sitio web. Cuando les das tu nombre de usuario y contraseña a otras personas, estas ejercen un control completo de tu cuenta y pueden bloquearte el acceso o hacer cosas que podrían resultar en la suspensión de tu cuenta. Ten cuidado con las aplicaciones que te prometen ganar dinero u obtener seguidores.

 Yolanda Ruiz Hervás

Se dejan una función sin seguridad en la nueva web del Senado