• Fecha: Oct 16, 2009
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

En junio, el mundo vio cómo los mensajes enviados desde las calles de Teherán inundaron Twitter. Los usuarios frecuentes de Twitter y la gente que nunca había escuchado del servicio de microblogs de repente estaban viendo su potencial.

Al mismo tiempo, los proveedores de antivirus advertían de nuevos ataques de phishing que se propagan a través de Twitter. Usando las cuentas de Twitter, los creadores de phishing seguían a los usuarios y los infectaban a través de un enlace a una página falsa cargada de código malicioso. Como la mensajería instantánea, MySpace y Facebook antes (ver find.pcworld.com/63293), Twitter había madurado.

El meteórico crecimiento de Twitter en 2009 ha sido impresionante. Además de los crecientes problemas debido a la afluencia de usuarios, en enero un ataque (find.pcworld.com/63300) comprometió las cuentas de 33 usuarios de alto perfil, incluyendo al presidente Barack Obama, el comentarista de CNN Rick Sánchez, y la cantante Britney Spears.

En abril, apareció un gusano de Twitter conocido como “Mikkeyy”, o “StalkDaily”. Twitter lo interceptó además de algunos otros virus bastante rápido. El cofundador de Biz Stone escribió en el blog de la compañía, “Twitter toma muy en serio la seguridad y lo seguirá haciendo en todos los frentes”.

Los peligros de URLs cortos

En paralelo al crecimiento de Twitter está la expansión de servicios de reducción de URLs. Plasmar tus pensamientos en 140 caracteres requiere práctica; incluir URLs completos es casi imposible. Normalmente los URLs tienen que ser truncados a través de servicios como Bit.ly y TinyURL.com, que también ocultan el URL real y pueden presentar sus propios problemas de seguridad como consecuencia.

En junio, una ola de URLs maliciosos ocultos afectó Twitter, usando enlaces de Bit.ly y dominios myworlds.mp en el que se pedía a los usuarios descargar un archivo para ver un video. El archivo contenía código malicioso. Bit.ly y TinyURL han sido capaces de responder; Bit.ly, por un lado, ahora bloquea los dominios low.cc y myworlds.mp.

Por lo menos un producto de seguridad, ZoneAlarm, restringe el acceso a TinyURL.com de forma predeterminada (tú no puedes bloquearlo). TinyURL cuenta con una función de vista previa, y Firefox tiene una opción para tener una vista previa de Bit.ly. Algunas aplicaciones de Twitter, como TweetDeck y Tweetie, también ofrecen una vista previa del URL antes de dar clic.

En el momento de escribir este artículo, Avi Raff de RSA acababa de anunciar “Un mes de problemas con Twitter”(find.pcworld.com/63301), durante el cual los investigadores planean dar a conocer una nueva vulnerabilidad de Twitter cada día.

Citando esfuerzos anteriores enfocados a los navegadores y a las vulnerabilidades de Mac OS de Apple, Raff dice que su objetivo no es afectar a Twitter sino mejorarlo y solucionar las fallas de las redes sociales. “Espero que Twitter y otros proveedores de Web 2.0 API trabajen en conjunto con sus consumidores de API para desarrollar productos más seguros”. La primera vulnerabilidad de Twitter dada a conocer se refería a las fallas de codificación entre sitios de Bit.ly. A las pocas horas de darse a conocer, Bit.ly las corrigió.

Sígeme, por favor

Uno de los objetivos de los Twitters es crear una audiencia; algunas personas consideran su perfil un éxito si tienen cientos o incluso miles de seguidores. Un sitio llamado TwitterCut anunciaba que incrementaría considerablemente su base de seguidores si le dabas tu nombre de usuario y contraseña. La mayoría de los proveedores de seguridad los consideran una estafa de pago por clic.

La gente que fue víctima de esta estafa descubrió que sus cuentas de Twitter eran usadas en un ataque de phishing, en el que quienes visitaban un vínculo que aparecía en el tweet acabaría descargando un PDF malicioso que intentaría instalar un producto de seguridad falso si la PC carecía de la actualización más reciente de seguridad de Adobe.

Intentos de phishing
Sin embargo, la mayoría de los intentos de phishing con Twitter son más directos. Normalmente, Twitter notifica a los usuarios acerca de los recientes seguidores a través de correo electrónico, a menudo con un vínculo al perfil del seguidor. Los recientes ataques de phishing imitan ese e-mail y contienen un vínculo a una página de inicio de Twitter falsa.

Otra variante envía el tweet, “Hola, ve este divertido blog sobre ti”. Si la víctima pulsa el URL es llevado a una página falsa (a twitter.access-logins.com/login/). No importa lo bien que se vea el sitio, examina el URL, y piénsalo dos veces antes de proporcionar información especialmente si ya has iniciado sesión en Twitter.

Los chicos malos han intentado tácticas más sutiles, como el juego de nombres pornográficos (ve find.pcworld.com/63299). De acuerdo con esto, para crear el nombre que usarás durante tu supuesta carrera en las películas para adultos, tomas el nombre de tu primera mascota y lo combinas con la calle en la que creciste, el apellido de soltera de tu madre, o el modelo de su auto. ¿Reconoces esas cosas? Son preguntas de seguridad comunes. Al mandar en mensajes de Twitter tu respuesta, podría abrir el acceso a tu cuenta de Twitter o a tu cuenta bancaria.

Una de las nuevas reglas de seguridad para utilizar Twitter es el sentido común. Al igual que no dejarías un mensaje en tu contestadora diciendo que estarás fuera de la ciudad, no hables de tus planes de vacaciones. Y por favor, no compartas tu ubicación si eres un miembro del congreso de Estados Unidos que va a un viaje confidencial al extranjero. Sólo pregunte al Representante Pete Hoekstra (R-MI) quien tweeteó a principios de este año: “Acabo de aterrizar en Bagdad. Creo que podría ser la primera vez que he tenido servicio de BlackBerry en Irak”.

Fuente: PC World
Autor: Robert Vamosi

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.