Si hay algo en lo que Facebook ha cogido mucha ventaja respecto a otras redes sociales es en la seguridad de las cuentas. Echando un vistazo al apartado de Seguridad vemos todas las opciones que ofrecen: pregunta de seguridad, navegación segura, notificaciones de inicio de sesión, aprobaciones de inicio de sesión, contraseñas de aplicaciones… ¿Qué ocurre si queremos comprobar las opciones de Twitter? La posibilidad de utilizar HTTPS y la de pedir el correo electrónico a la hora de resetear la contraseña.
¿Es suficiente esto para mantener segura una cuenta? No, y así se comprueba en la historia que han publicado hoy en The Verge, en la que el usuario @blanket cuenta cómo un hacker adolescenteconsiguió burlar la seguridad de Twitter y realizar un ataque de diccionario para obtener acceso a su perfil. Sin entrar en detalles técnicos relacionados a cómo Twitter no consiguió bloquear a tiempo este ataque (los atacantes dicen haber utilizado una lista de proxies para evitar ser detectados), con la implementación de alguno de los sistemas que utiliza por ejemplo Facebook nos podrían ahorrar bastantes disgustos.
¿Qué mejoras debería añadir Twitter?
Basándonos en algunas medidas de seguridad que suelen añadir actualmente diversas aplicaciones, Twitter tiene un amplio catálogo donde elegir qué opción utilizar para conseguir una capa de seguridad adicional que proteja a sus usuarios. Confiar en la educación en seguridad de los mismos no debería ser la única opción. ¿Qué podrían utilizar entonces?
- Verificación en dos pasos: ya explicamos por aquí su funcionamiento en Gmail, aunque cada vez son más los servicios web que están implementando esta mejora en la seguridad. Se basa, esencialmente, en combinar algo que el usuario sabe (una contraseña) con algo que éste tiene físicamente (un código o similar). Fundamental.
- Control de sesiones: algo que permita en todo momento ver en qué lugar está abierta una sesión del usuario y poder cerrarla remotamente si se da el caso.
- Dispositivos habituales: un apartado donde gestionar los dispositivos donde se permite al usuario iniciar sesión con esa cuenta. De esta forma, si alguien accede a ella desde otro sitio, tendría que verificarse antes. O lo que es mejor: si alguien pierde un teléfono en el que una cuenta está configurada, estaría bien poder quitarle permisos remotamente al dispositivo.
Y cuando decimos Twitter, nos referimos prácticamente a cualquier servicio web muy utilizado por los usuarios y en los que están proliferando las actividades delictivas relacionadas con los robos de cuentas. En Dropbox, a mediados de agosto, sufrieron una importante brecha de seguridad. Un par de semanas después, presentaron la verificación en dos pasos. Con LinkedIn, más de lo mismo: aquella filtración que tanto dio que hablar podría haber quedado en nada de haber tenido activada alguna otra medida como las que comentamos.
Una contraseña y un correo seguros, fundamental
En el caso de @blanket, llama la atención que el ataque de fuerza bruta no parece haber utilizado palabras de diccionario tal cual, sino que incluían algún tipo de número (el usuario reconoce que su contraseña tenía una cifra al final). ¿Es una contraseña segura? Ni mucho menos, aunque seguro que hay mucha más gente que directamente ni se molesta en añadir un número. En cualquier caso,Twitter no debería dar tantas facilidades a la hora de que las cuentas de sus usuarios se vean comprometidas.
Hace un tiempo publicamos en Genbeta un Especial Contraseñas Seguras, cuyo contenido puede seguir aplicándose perfectamente a la realidad. Tener en cuenta estos consejos, así como mantener segura la dirección de correo asociada al perfil (a fin de cuentas, a través de ella se puede solicitar una nueva contraseña), es vital para mantener nuestras cuentas fuera de peligro. Y en lugares como Twitter, donde toda la seguridad depende prácticamente de lo que haga el propio usuario, aún más.