Ayer, el tema del día fue el hackeo de la cuenta de Associated Press y sus consecuencias en el Dow Jones en la bolsa de valores. En las últimas semanas hemos oído hablar de importantes cuentas de Twitter hackeadas. Ya en febrero Twitter publicaba una oferta de empleo en la que buscaban ingenieros especializados en seguridad.
La necesidad de un nuevo sistema de seguridad se hace patente cuando los afectados son medios de comunicación tan destacados como la americana Associated Press, que fue hackeada ayer y en la que publicaron un tweet falso, informando de una explosión en la Casa Blanca.
Como medida de precaución la cuenta fue suspendida. Hace pocos días también fueron hackeadas también las cuentas de 60 minutes y 48 Hours, propiedad de la cadena CBS. En este caso fueron utilizadas para difundir mensajes falsos sobre el conflicto de Siria. Probablemente estos sucesos han provocado más urgencia en el trabajo de Twitter en la identificación en dos pasos.
Twitter basa actualmente la atenticación en el protocolo OAuth tanto desde las aplicaciones para smartphones como web, lo que evita el secuestro de sesiones abiertas. Y para la autenticación utiliza el conocido cifrado SSL.
Aún no está claro como será el sistema de autenticación en dos pasos en Twitter. Google y Microsoft ya cuentan con un sistema de autenticación en dos pasos enviando a un teléfono móvil confirmado por el usuario, un mensaje con una clave para confirmar que se trata de una conexión legítima, al detectar el acceso desde un dispositivo o dirección IP, desconocida.
Facebook por su parte, registra los dispositivos y envía un email al usuario informando de la conexión, aunque no requiere clave por defecto. La seguridad de Facebook también deja mucho que desear, yo mismo reporté un fallo bastante grave hace unos meses, refiriéndoles que cuando se intenta iniciar una sesión con otra abierta, la primera se cierra. Esto supone un grave riesgo de spoofing.
Estas medidas previenen en gran medida el robo de contraseñas. Pero no pueden protegernos ante ataques man-in-the-middle, en los que se intercepta la conexión situándose entre el usuario y el punto de acceso, clonando así las credenciales de acceso. Para prevenir esto se trabaja en la autenticación en dos pasos en Twitter.
A todos nos preocupa la seguridad de nuestras cuentas, o al menos así debería ser. Por supuesto, existe el factor humano. No sólo importan los ataques de phishing. La mayoría de los usuarios no son todo lo precavidos que debieran a la hora de gestionar la seguridad de sus cuentas, utilizando claves de longitud y composición adecuadas, ni mucho menos cambiando la clave periódicamente.
Aunque molesto, quizá no sea de gran relevancia el hackeo de una cuenta personal, pero toma especial importancia cuando se trata de cuentas más notorias, máxime cuando tiene consecuencias en la economía o los conflictos armados. La compañía puede poner todas las medidas de seguridad que estén en su mano y probablemente la autenticación en dos pasos en Twitter sea una solución, pero no debemos olvidar nuestra responsabilidad.