Si no se quieren perder las cuentas, la información asociada a ellas y otros datos privados e importantes, es necesario no dejar ninguna brecha de seguridad en la vida digital. Perder una simple contraseña puede ser un gran contratiempo si cae en las manos equivocadas.
Pese a que se intente buscar una buena contraseña, siempre hay que ir un paso más allá para intentar proteger las cuentas al máximo. Nadie está libre de peligro, ni siquiera agencias gubernamentales, y, de hecho, la Comisión de Bolsa y Valores de Estados Unidos (SEC, por sus siglas en inglés) ha sufrido el robo de su cuenta de X —antes conocida como Twitter—, aunque no ha durado mucho tiempo.
Curiosamente, han cometido un error bastante básico, pero que podría pasarle a cualquier persona con una cuenta en redes sociales, y se puede aprender mucho de ello. El objetivo de las personas que se hicieron con la cuenta, por lo que parece, era hacer una publicación relacionada con el Bitcoin para subir su valor, algo que consiguieron de forma momentánea.
La verificación es clave
Ha sido la propia Comisión, SEC, por sus siglas en inglés, quien ha revelado este acto malicioso por parte de los ciberdelincuentes, que se hicieron con el control de su cuenta oficial de X debido, en parte, a que no tenían activada la verificación en dos pasos, algo que todos los expertos en ciberseguridad recomiendan encarecidamente.
Y es que, parece que el hecho se produjo cuando alguien en la Comisión de Bolsa y Valores desactivó la verificación en dos pasos de la cuenta, algo que se aprovechó para intentar hacer un ataque de intercambio de SIM. Este, finalmente, les ha dado sus frutos, puesto que han conseguido hacerse con el control de la cuenta durante unos minutos. Según ha confirmado la agencia, en ningún momento han tenido acceso a sus sistemas internos ni tampoco a sus bases de datos, solo a su cuenta en la red social, por lo que se quedará en una simple anécdota.
Este método se lleva a cabo utilizando ingeniería social, puesto que el criminal ha conseguido el control de un número de teléfono engañando a la compañía telefónica, seguramente haciéndose pasar por su dueño, para que le den el control y el acceso a los mensajes de texto y llamadas entrantes de dicho número. Así, cualquier tipo de mensaje de verificación con un código para iniciar sesión no le llegaría a la persona propietaria del número.
Los ciberdelincuentes solo han tenido que seguir el proceso para restablecer la contraseña, les han enviado un SMS para confirmar, y han puesto su propia clave de acceso. Y esto es algo que le puede pasar a cualquiera. La publicación que hicieron en el perfil de la agencia hizo que el Bitcoin subiera a 48.000 dólares, pero poco después cayó un 6%. En caso de que hubieran robado otro tipo de cuenta, quizá podrían haber conseguido sustraer datos o incluso dinero del propietario, en este caso, la finalidad estaba clara.
Cómo evitar que suceda
El primer error que cometió la agencia estadounidense fue el de desactivar la verificación en dos pasos. Esta decisión se tomó porque estaba causando problemas a la hora de iniciar sesión, y se pusieron en contacto con las oficinas de X para apagar este mecanismo de seguridad, el cual deberían haber vuelto a activar tan pronto como consiguieron iniciar sesión de nuevo.
La verificación en dos pasos es un mecanismo muy ventajoso de cara a la seguridad, puesto que hace que, además de poner bien la contraseña, sea necesaria una segunda medida de seguridad. En este caso, se llevó a cabo por SMS, pero los expertos recomiendan no utilizar este método, puesto que alguien —como ha sucedido en este caso— puede conseguir acceso a la tarjeta SIM de forma fraudulenta, en cambio, es más complicado hacerlo si se utiliza otro medio.
En su lugar, lo más recomendable es recurrir a aplicaciones de verificación como Microsoft Authenticator o Google Authenticator. En estas, se muestra un código que va cambiando cada pocos segundos, y para acceder a este el ciberdelincuente tendría, primero, que poder acceder a nuestra cuenta de Google, algo que, si está bien protegida, también puede resultar complicado. De hecho, la propia X recomendó llevar a cabo la autentificación en dos pasos mediante este tipo de aplicaciones, y no mediante SMS.
En caso de que siga utilizando el SMS como método de verificado, lo mejor es cambiar este por otra alternativa compatible, como las anteriores, aunque es cierto que no se pueden utilizar en todas las plataformas, ya que estas deben ser compatibles con dichas apps.