Opinión

¿Cómo "hackear" a un gigante tecnológico?

¿Cómo
Educar en materia digital con políticas de ciberseguridad debe ser una realidad en la nueva normalidad, considera Carlos Ramírez Castañeda.

(Expansión) – El pasado 15 de julio del 2020 ocurrió un suceso en el mundo digital sin precedentes, se veía una cantidad enorme de réplicas en diversas cuentas certificadas de la red social Twitter, sin duda un gigante tecnológico que había sido sobrepasado en el manejo de la información de sus usuarios y controles de seguridad.

¿Pero que pasó con todos los controles digitales para evitar daños mayores? Queda claro que, a pesar de todos los factores de seguridad y controles existentes, por muy robustos que sean, siempre habrá un eslabón débil, el mismo que será aprovechado por los atacantes para lograr sus diversos cometidos.

Fueron comprometidas 130 cuentas entre celebridades, empresarios y figuras políticas de distintos ámbitos, de las cuales 45 tuvieron restablecimiento de contraseña y de 8 se descargaron copias de la información con la que se había alimentado a esta red social, mencionado en el reporte sobre el incidente días después.

En el texto publicado en las cuentas certificadas vulneradas se pedían donaciones en bitcoin para supuestamente duplicar lo obtenido y destinarlo a diversas causas, lo cual comenzó a ser extraño entre los usuarios, identificando con ello que un problema mayor había ocurrido, para otros solo fue el canal para sumarse a esa causa sin saber que sus donaciones caerían en manos de ciberdelincuentes.

El mal llamado “hackear” se hizo la primera hipótesis del daño, sin embargo, identifiquemos que no fue un apartado completamente técnico como los grandes piratas informáticos nos dejan ver en las películas, este ataque se logró perpetrar por medio del eslabón más débil, influenciable, moldeable, y con defectos explotables, el ser humano.

Una técnica de ingeniería social bien estructurada hacia algunos empleados de Twitter fue puesta en acción, la ingeniería social consiste básicamente en inducir al error a la persona e influenciar para lograr manejar al objetivo.

Con esto queda muy claro que, a pesar de ser de las compañías más grandes del mundo en materia digital, se debe comenzar con una correcta concientización hacia el usuario, en este caso al empleado, pues la información privilegiada a la que pueden tener acceso no es cosa de juego, dejando en peligro al usuario y a la compañía por un error.

Educar en materia digital con políticas de ciberseguridad debe ser una realidad en la nueva normalidad, pues, por un “pequeño descuido”, podría lograrse vulnerar la información de toda una empresa, y deja al descubierto y expuestas sus formas de operación, manejo, recursos, personal, cuentas; las posibilidades para el atacante son diversas.

No es necesario tener un conocimiento en seguridad ofensiva mayor para lograr un gran daño digital, muchas veces la ingeniería social es el factor clave para lograr obtener cuentas, acceso e información, los ciberatacantes se valen de este tipo de técnicas para inducir a su víctima al error y esta ceda sus credenciales de acceso, en algunos casos el complemento técnico es el phishing, el cual por medio de scams (sitios web suplantados, con un detalle técnico alto, casi igual al original), logran obtener usuario y contraseña, los delincuentes informáticos más avanzados logran incluso emular el portal del factor de doble verificación o en su caso contactar a la víctima para obtener el código de identidad.

El ataque a Twitter es un punto de reflexión para lograr un marco de capacitación continua para los empleados de todas las empresas sin importar el tamaño, de acercarse al entorno digital y construir políticas de ciberseguridad con fines preventivos, pues por muy fuertes que sean las soluciones digitales como antimalware, el ataque podría comenzar y terminar en el usuario.

Debemos romper también ese estereotipo intrínsecamente relacionado a que todo acontecer negativo hacia los sistemas y/o plataformas es un “hackeo”, ya que existen diversas variantes de ataques y técnicas que solo con el resultado final podríamos identificar con el nombre técnico correcto. Reitero que esto es un factor clave en la formación de los usuarios.

Nota del editor: Carlos Ramírez Castañeda es especialista y apasionado por el Derecho Informático, particularmente en ramas de Ciberseguridad, Cibercriminalidad y Ciberterrorismo. Tiene un Máster en Derecho de las Nuevas Tecnologías de la Información y Comunicaciones de Santiago de Compostela España, Doctor en Administración y Políticas Públicas de México. Es colaborador de diversas instituciones académicas y gubernamentales, profesional siempre interesado en temas de ciberprevención particularmente con sectores vulnerables. Síguelo en Twitter como @Ciberagente . Las opiniones publicadas en esta columna pertenecen exclusivamente al autor.

Consulta más información sobre este y otros temas en el canal Opinión