En los últimos días hemos podido ver cómo un delincuente ha conseguido hacerse con el control de varias cuentas institucionales en Twitter, siendo la última entidad afectada el Ayuntamiento de Jerez, tal y como indicó su Alcaldesa
⚠️ATENCIÓN⚠️
— Mamen Sánchez Díaz (@_MamenSanchez) August 19, 2019
La página del Ayuntamiento de #Jerez ha sido hackeada.
Por favor, no hagáis interacciones con el perfil. Informaremos de los cambios que se produzcan en adelante.
No ha sido el único
La primera cuenta hackeada fue la del Ayuntamiento de Pamplona, que empezó a publicar insultos y amenazas de muerte contra el alcalde de la ciudad, Enrique Maya, de Navarra Suma, principios de agosto.
Podemos ver el cambio de la imagen del perfil con unas manos entregándose dinero, además de expresiones relativas a una supuesta corrupción. Aunque este perfil aparece como @PamplonaIruna_ (con un guión añadido) este cambio fue realizado tras conseguir el control de la cuenta, siendo además una actuación que también se ha realizado con otros ayuntamientos.
Uno de los mensajes fue el siguiente:
Para los manifestantes, activistas, periodistas y TODA aquella gente que lucha diariamente para este país, que sepa que falta poco y juntos lograremos que estos HIJOS DE PUTA CORRUPTOS dejen de gobernar este país, y que ESPAÑA sea un gran país en donde cualquier persona tenga acceso en algo tan básico como el poder comer»
Tuit realizado en la cuenta de Twitter del Ayuntamiento de Pamplona
Otro afectado fue el Ayuntamiento de Albacete, que finalmente consiguió recuperar su cuenta
>>> CUENTA RECUPERADA
— Ayuntamiento de Albacete (@AytoAlbacete) August 6, 2019
Prueba superada, fin de la aventura ?
¡Gracias a todos por el apoyo! (especialmente a @TwitterEspana)
Al «jaker», un saludo, nos vemos en los juzgados ? pic.twitter.com/Z9bSc7D8Hc
Aún podemos encontrar capturas de los tuits emitidos desde la cuenta del Ayuntamiento de Albacete mientras permaneció bajo control del delincuente, y podemos encontrar elementos comunes con el resto de ayuntamientos afectados
Además, al igual que sucedió en otros casos, desde el perfil se dirigieron amenazas contra su alcalde, Vicente Casañ, de Ciudadanos
Otros ayuntamientos afectados han sido el de Valencia, Jaén, Palma, Berga (Barcelona) y Arona (Santa Cruz de Tenerife).
¿Cómo han podido acceder a dichas cuentas?
No se ha hecho pública mucha información al respecto, pero en el último caso del Ayuntamiento de Jerez podemos encontrar lo siguiente en el artículo de La Voz del Sur:
La persona —o las personas— que publicaron las amenazas se hizo con el control tras enviar un email al departamento de informática del Consistorio, que facilitó un número de teléfono creyendo que así se iba a verificar la cuenta, un sistema de la red social que permite verificar la autenticidad de los perfiles de interés público mediante una insignia azul que aparece junto al nombre de usuario.
Por lo tanto, parece ser que el principal método ha sido el engaño a los responsables:
- El usuario ha obtenido acceso a la cuenta a través de ingeniería social. Al igual que sucede con otras estafas, se hizo pasar por un representante de la red social para obtener la colaboración del departamento del Consistorio. Esto muestra que faltan protocolos adecuados para la gestión de canales tan sensibles como son los correspondientes a las redes sociales pertenecientes a entes del sector público.
- El modus operandi en todos los casos es muy similar, con lo que es posible que se trate del mismo sujeto o del mismo grupo.
El procedimiento que se sigue es:
- Se obtiene el acceso a la cuenta
- Se cambia el nombre de la cuenta añadiendo un guión. No se trata de crear una cuenta simulando ser la cuenta oficial para producir un engaño en los potenciales usuarios, sino que es un cambio producido sobre la cuenta original. Esto puede comprobarse a la vista del número de seguidores, o el historial de tuits, que tienen estas nuevas cuentas.
- Se registra asimismo la cuenta con la denominación inicial, dotándola de contenido para darle la apariencia de una cuenta legítima que se ha registrado al estar libre
Actualización: Correos ha sufrido el mismo ataque sobre su cuenta @CorreosAtiende
En primer lugar, el cambio de la denominación de la cuenta
Y el registro y uso de la denominación de cuenta original. En este caso añadiendo al perfil la expresión «ni soy correos ni atiendo».
¿Por qué es tan grave?
Todo robo de una cuenta en una red social tiene una serie de consecuencias para su titular, pero la gravedad es mayor en un ente del sector público, en particular a causa de la percepción que tendrá el ciudadano y el daño que podría llegar a provocarse
- En este caso se ha mostrado rápidamente a través de la modificación del perfil y la emisión de los mensajes, pero podría haber utilizado dicha cuenta de forma maliciosa para aprovecharse de la imagen del ayuntamiento.
- Los ciudadanos percibirán muy negativamente la pérdida del control de la cuenta en la red social, lo que puede reducir su confianza en el uso de otros medios electrónicos que pongan a su disposición, aunque las medidas de seguridad en estos sean en la práctica correctos.
- En el caso de cuentas de Atención al Cliente como la de Correos, en que se puede ver que se prestaba dicho servicio a través de la cuenta de Twitter en mensajes privados, el acceso no autorizado permitirá al atacante acceder a las conversaciones que se pudieran haber mantenido y aún se conservaran en la cuenta.
¿Cómo evitar que este tipo de ataques tengan éxito?
El mayor problema, al igual que sucedía con el caso de los bloqueos, es que las redes sociales en que participan ayuntamientos no reciben el mismo trato que otros canales o mecanismos electrónicos, viéndose como un canal de comunicación sencillo y que puede gestionarse al igual que una cuenta del sector privado, cuando nada más lejos de la realidad.
Es cierto que son un canal muy valioso, y que permite ofrecer información a los ciudadanos de forma rápida y a través de sus dispositivos favoritos, pero debemos tener en cuenta además las especialidades fruto de la naturaleza de su titular.
En primer lugar, debemos recordar los consejos más básicos en la gestión de redes sociales:
- Activar la identificación de dos factores
- No reutilizar contraseñas
- Si se utilizan aplicaciones para gestionar las redes sociales controlar asimismo el acceso a las mismas, y los permisos de los grupos que participen en dicha gestión
Además, es importante que el protocolo de respuesta ante incidencias de seguridad tenga contemplado qué hacer en este tipo de supuestos, con tal de responder y actuar de manera inmediata ante la detección de una usurpación del perfil en una red social.
No basta con saber de comunicación para gestionar este tipo de perfiles en redes sociales, sino que debe darse importancia tanto a la seguridad en la gestión de la cuenta, como a las especificidades fruto de la naturaleza de la entidad a la que representan.
- El cifrado de Signal sigue siendo seguro, a pesar de los titulares sobre Cellebrite - 23 de diciembre de 2020
- El estudio del INE sobre movilidad a partir de datos de abonados y su legalidad - 30 de octubre de 2019
- Villarejo y Truecrypt: Ni tan obsoleto ni tan inseguro - 4 de septiembre de 2019