¿Cómo de fácil resulta hallar los agujeros de seguridad de las redes sociales?

La semana pasada fue Twitter. Miles de usuarios recibieron un correo electrónico en el que Twitter les obligaba a cambiar la contraseña, lo que hacía presagiar que la red de microblogging había sufrido un ataque hacker masivo. Twitter no ha explicado aun cómo se produjo el ataque pero sí lanzó el viernes un comunicado aclaratorio donde reconocían que se excedieron al mandar los emails y los enviaron a más cuentas de las que en realidad habían sido comprometidas.

Nube de etiquetas

Pero no es el primer problema con los hackers del servicio de microblogging.

En mayo de este año, los nombres de acceso y las contraseñas de 55.000 usuarios de Twitter fueron publicadas en Internet, lo que demostró los importantes agujeros de seguridad de la red. Llovía sobre mojado, un mes antes,  en abril, se había producido una campaña de spam en Twitter mediante la cual se intentaba engañar a los usuarios para que instalaran un falso antivirus Windows. Así, los hackers lograban redireccionar a los usuarios de la red de los 140 caracteres a páginas web maliciosas que explotaban vulnerabilidades en plugins de navegadores para que se instalaran falsos antivirus.

El 21 de septiembre de 2010 ya había habido un ataque masivo a Twitter mediante un gusano llamado Rainboww43 que afectaba a los usuarios con una vulnerabilidad XSS (Cross-Site Scripting) para robar sus cookies. En este caso, los usuarios recibían un mensaje con una cadena extraña y, al pasar por encima con el puntero, era posible redirigir a cualquier persona que visitara el perfil a una página web; algo muy peligroso, puesto que tras el redireccionamiento a otra web ésta podía infectar el ordenador.

Pero los problemas de seguridad no son exclusivos de Twitter. También Linkedin, la mayor red profesional del mundo, sufrió en junio pasado uno de los mayores ataques de seguridad de su historia al robar un hacker 6,5 millones de contraseñas de los perfiles de sus usuarios y publicarlas en un foro de Internet. La compañía inmediatamente reconoció el fallo y aconsejó a los usuarios que cambiaran sus password. Poco después, el mismo pirata informático robó 1,5 millones de passwords de la página web de citas por Internet eHarmony, muy popular en países como Estados Unidos.

Como se ve, ni los gigantes online están libres del peligro. Y si ellos se ven comprometidos, más lo están las webs de las pequeñas empresas, frecuentemente demasiado vulnerables. Por eso es recomendable revisar la seguridad de cada web de forma periódica, constante y metódica. Porque la seguridad no es un estado, es un proceso.


....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian