sábado, 11 de mayo de 2013

The Onion: aprendiendo sobre hackeos, seguridad e inevitabilidad

El pasado 6 de mayo, la cuenta de Twitter de The Onion, conocido medio norteamericano dedicado a la producción de noticias satíricas, comenzó a publicar mensajes extraños, con el mundo árabe como temática común, haciendo referencia a cuestiones como la financiación de la guerrilla antigubernamental siria o el papel jugado en el conflicto por los Estados Unidos, Israel, Qatar, la ONU o Al Qaeda.

Siendo The Onion quien es, las primeras informaciones fueron relativamente prudentes, tratando de no descartar la posibilidad de que fuese una de las habituales bromas o pranks de la publicación al hilo de hackeos recientes como los de Associated Press o CBS. En poco tiempo, sin embargo, se hizo evidente que se trataba de un hackeo por parte de los mismos protagonistas, la Syrian Electronic Army, un grupo pro-gubernamental que apoya a Bashar al-Assad. Las reacciones posteriores de The Onion manteniendo su tono de humor habitual no dejan de tener su punto.

Las razones para que una organización de este tipo decida hackear una publicación satírica resultan evidentes para cualquiera: sus casi cinco millones de seguidores, y la posibilidad de generar una elevada viralidad mediante el uso del humor, uno de los elementos más eficientes en este sentido.

Pero lo llamativo del hackeo de la Syrian Electronic Army a The Onion no termina con el mismo: la publicación ha decidido hacer públicos todos los detalles referentes al mismo (puedes ver la noticia en sitios como Boing Boing, AllThingsD, The Register o ArsTechnica). Algo que podemos ver en muy raras ocasiones: lo habitual en estos casos suele ser la discreción, la reserva en los detalles, por miedo al descrédito o a la revelación de procedimientos internos. En este caso, The Onion ha decidido que lo mejor era dar todos los detalles, incluidos correos electrónicos, URLs y consejos, con el fin de ayudar a otros que pudiesen ser víctimas de ataques similares. La lectura de la entrada es muy recomendable para cualquiera que pueda, en un momento dado, ser víctima de un ataque de este tipo.

Los detalles revelan, a mi entender, algo muy claro: prácticamente nadie está a salvo de un ataque de este tipo. Cuando una organización se decide a atacar un objetivo concreto, las posibilidades de evitarlo son muy escasas, incluso cuando los métodos empleados no son especialmente sofisticados. Hablamos de un ataque de phishing desarrollado en varias capas, con direcciones externas, dirigidos a varias personas de la organización, que terminaban en una pantalla en la que había que introducir el usuario y la contraseña de acceso a una cuenta de correo. Capturadas las credenciales de acceso de una cuenta de correo electrónico, ésta fue utilizada para enviar otros correos a otras personas de la organización, correos que obtuvieron un clickthrough muy superior por provenir de una dirección conocida. Aunque varias personas de los que recibieron ese correo se detuvieron en la pantalla que solicitaba la introducción de usuario y contraseña, algunos no lo hicieron, y alguno de ellos tenía en su correo información de acceso a la cuenta de Twitter.

Un ataque de este tipo resulta muy difícil de evitar. Los consejos que proporciona la propia The Onion pueden ayudar a ello: educar a todos los usuarios en seguridad, para que sospechen de todos aquellos enlaces que les soliciten un login, provengan de quien provenganes algo muy recomendable, pero siempre puedes encontrar a alguien que tiene un momento de descuido. En cualquier caso, me parece el consejo más claro y evidente que podemos derivar de todo este tema.

Además, que las direcciones de correo para acceder a la cuenta de Twitter estén en un sistema aparte aislado del correo organizacional, o que toda la actividad y el acceso se lleven a cabo a través de una aplicación como Hootsuite o similares parecen buenas recomendaciones, como lo es por supuesto el ser especialmente cuidadoso en la elección de contraseñas o la utilización de un gestor especializado para las mismas. Tener métodos alternativos y ágiles para contactar con todas las personas de tu organización aparte del correo corporativo es una buena idea en momentos de crisis en los que puede resultar difícil averiguar si la seguridad de alguno de los elementos del sistema ha sido vulnerada. Toda educación en seguridad es bienvenida, toda precaución es poca a la hora de que una contraseña no sea obvia, no aparezca en un diccionario o no se utilice la misma en todas partes.

Pero llevado al extremo, podemos terminar en la paranoia más absoluta, y olvidaríamos lo fundamental: que si de verdad te has convertido en un objetivo de suficiente interés para alguien, lo normal será que en algún momento consiga su objetivo. Y en estos casos, lo mejor es recurrir a comparaciones de fuera de la red: si alguien se empeña en robar específicamente tu casa y se prepara especialmente para ello, posiblemente lo consiga, pero eso no debe hacer que descuides la seguridad. No debe llevar a que abandones el cuidado, a que olvides tus llaves al alcance de cualquiera, o a que dejes la puerta sin cerrar. En el fondo, puro sentido común. Pero recrear ese sentido común, procedente de muchos años de experiencia, en un entorno de uso mucho más reciente no parece tan sencillo.