El año pasado fue memorable en términos de seguridad en el ámbito tecnológico. Sucedió un importante número de incidentes y se descubrieron vulnerabilidades globales que afectaron a millones de computadoras alrededor del mundo, así como enfrentamientos con ciber criminales. Cada uno de estos acontecimientos estuvo vinculado de alguna u otra manera a las redes sociales, especialmente Twitter, un canal de noticias muy popular en los últimos tiempos. Es por ello que hemos decidido recopilar los diez tuits que más destacados en términos de ciber criminalidad.
1. En marzo, un ciber delincuente que actuaba en nombre del grupo de hackers ‘Pump Water Reboot’ comenzó una serie de ataques DDoS en varios servicios web rusos (comunidades digitales populares y algunos bancos). Los malhechores pidieron a las víctimas pagar 1.000 dólares de rescate para cesar el ataque.
En el tuit enviado, los criminales amenazaron a uno de los banqueros rusos, Oleg Tinkov, fundador de Tinkoff Credit Systems, un banco en línea especializado.
@olegtinkov На ваш сайт ведется DDoS – атака. Мы предлагаем решение этой проблемы. Атака прекратится если Вы готовы заплатить 1 000$.
— Pump Water (@PumpWaterReboot) March 24, 2014
(Traducción del ruso: Su sitio ha sido atacado por DDoS. Ofrecemos una solución para ello. La vulnerabilidad se detendrá si usted está dispuesto a pagar $ 1.000).
Su efecto no tardó mucho en llegar: durante el verano, el ciber villano fue capturado por la policía y, al cabo de de un par de meses, fue condenado a 2,5 años de prisión con libertad condicional y una multa de 12 millones de rublos (unos 400.000 dólares en ese momento). Demasiado para un estudiante de 19 años de edad que, en realidad, es un extorsionador.
2. El bug de Heartbleed fue una vulnerabilidad global que amenazó a dos tercios de la totalidad de Internet. Puedes conocer más sobre ella en nuestro blog. La versión corta de lo que sucedió y cómo funciona la puedes consultar en las palabras del autor de comics xkcd:
Heartbleed http://t.co/wxVnw6YK6Q http://t.co/j1iYb4DC7l pic.twitter.com/ekr3nFr1oW
— XKCD Comic (@xkcdComic) April 9, 2014
Los efectos de Heartbleed se sienten desde hace mucho tiempo: existen decenas de miles de servidores vulnerables que aún no han sido actualizados, mucho de ellos incapaces de de deshacerse de esta falla de seguridad.
3. En nuestra opinión, el mejor tuit del año fue creado por –no lo vas a creer- la CIA. Es agradable ver que estos tipos que parecen duros tienen un lado humorístico.
We can neither confirm nor deny that this is our first tweet.
— CIA (@CIA) June 6, 2014
4. A mediados de agosto, se produjo lo que tarde o temprano sucede en la política actual. Alguien que hackeó la cuenta de twitter del primer ministro de Rusia Dmitry Medvedev, hizo un uso cómico de ella.
(Traducción del ruso: Renuncio. Me avergüenzo de las acciones del gobierno. Lo siento)
Al mismo tiempo, otras cuentas de Medvedev fueron hackeadas. Ello generó una fuga importante de fotos y datos personales del dispositivo móvil de este político ruso. Sin embargo, todos los tuits escritos por los hackers fueron retirados a posteriori. Lo que sucedió con los atacantes (si es que al final algo sucedió) no se conoce bien todavía.
5. Dos semanas más tarde, se produjo otra fuga, esta vez mucho más masiva: alguien posteó en Internet fotos privadas de varias celebridades desnudas, entre ellas Jennifer Lawrence.
https://twitter.com/YahoodiSaazish/status/506139424426446848
Estas fugas fueron de inmediato denominadas ‘The Fappening’ y sacudieron al mundo entero. Las estrellas consiguieron darse a conocer mucho más rápido de lo habitual, y los servicios web que publicaron las fotos obtuvieron importantes ganancias, entre ellos el site Reddit, que obtuvo una suma de dinero tal que en pocos días logró financiar el proyecto durante un mes.
6. Este año, la primavera fue especialmente memorable. En septiembre, una vulnerabilidad crítica fue encontrada en la plataforma Bash Shell y se la conoció bajo el nombre de “Bashdoor” o “Shellshock”. Fue la segunda vez en el año que millones de computadoras, principalmente servidores, se vieron fuertemente comprometidas. El hombre que descubrió la falla de seguridad no publicó nada en su Twitter inmediatamente, pero poco después envió un tuit en el que revelaba que esta grave vulnerabilidad se había originado en 1989, hacía 25 años.
Shellshock was actually introduced in bash-1.03 (1989, 25y ago), not 1.13 as Chet, I and others have said earlier (http://t.co/LC5TEqpqkx)
— Stephane Chazelas (@SChazelas) October 4, 2014
Dada su gravedad, el bug de Bash, al igual que el de Heartbleed, estará entre nosotros por un largo tiempo.
7. En Octubre, dos investigadores anunciaron que cada dispositivo USB del planeta era vulnerable. Extrañamente, ninguno de los investigadores habló de noticia desde su cuenta de Twitter, pero nosotros sí lo hicimos.
BadUSB research: "You can’t trust anything you plug into your PC, not even a flash drive" https://t.co/kOkdrw8dEZ pic.twitter.com/ANYpF01EY6
— Eugene Kaspersky (@e_kaspersky) October 3, 2014
Todavía no está muy claro qué es lo que debemos hacer globalmente para protegernos de este bug. No obstante, los expertos aconsejaron llevar a cabo una práctica cautelosa al respecto: nunca utilizar dispositivos USB de desconocidos, incluyendo mouses y teclados.
8. A mediados de octubre de 2014, se dio a conocer otra fuga importante de datos que afectó a los usuarios de Dropbox. Los representantes de la compañía declararon que el servicio no fue hackeado, sino que los datos fueron robados por otras vías.
Reports claiming we’ve been hacked aren’t true. Your stuff is safe. More info on our blog: http://t.co/vI6sfNjC4Z
— Dropbox Support (@DropboxSupport) October 14, 2014
Muchos expertos, a pesar de estas declaraciones, sostuvieron que Dropbox sí fue hackeada y que la compañía, en realidad, prefirió negociar con los intrusos para que su reputación no se viera afectada.
9. El fin de octubre estuvo marcado por un acontecimiento al que, desgraciadamente, muchas personas no le prestaron suficiente atención. Twitter anunció su plan de adecuación global para reemplazar el rudimentario mecanismo de validación por contraseñas por un sistema de autenticación mucho más avanzado, llamado Dígitos. Pero eso no fue todo. La compañía explicó además que esta nueva plataforma podría ser utilizada a su vez por otros sitios web y otras redes sociales, por fuera de la red social de los 140 caracteres.
https://twitter.com/digits/status/524977241780805632
En los últimos años, ha habido muchos intentos de reemplazar el sistema de seguridad basado en las contraseñas, pero nadie lo ha conseguido. Sin embargo, los expertos acuerda que es muy probable que la nueva plataforma planteada por Twitter tenga éxito y que, de aquí a un par de años, finalmente el viejo método de autenticación de las contraseñas sea finalmente reemplazado.
10. Siguiendo la temática de las contraseñas: nunca almacenes tus claves personales en un archivo no cifrado de tu PC personal. Porque, de lo contrario, podrías verte frente al mismo problema que tuvo Sony Pictures. La compañía fue atacada masivamente por el grupo de hackers GOP. Antes de que el ataque comenzara, los cibercriminales lograron obtener acceso a una de las cuentas de Twitter de Sony Pictures y enviaron un tuit amenazando al CEO de la compañía sobre el hackeo.
Desafortunadamente, los hackers no se limitaron solo a las advertencias, ya que poco después los criminales robaron una gran cantidad de datos personales de la compañía. Si lo deseas, puedes leer más acerca del ataque a Sony en nuestro blog.
Traducido por: Maximiliano De Benedetto y Guillermo Vidal Quinteiro