El martes un tuit salido de la cuenta de la agencia de noticias Associated Press (AP) fue devastador para el mercado bursátil. El tuit refería que la Casa Blanca de los Estados Unidos había tenido un atentado y que el presidente Obama había resultado herido. Afortunadamente, el mensaje era falso en lo que decía aunque no lo era en cuanto al remitente, ya que sí provenía de la cuenta de AP, quienes más tarde dijeron que les habían ‘hackeado’ la cuenta; hecho que se atribuyó el grupo de activistas Ejército Electrónico de Siria (EES).
El tuit hubiera pasado desapercibido pero como provenía de una fuente seria como AP, la gente en Wall Street creyó a ciegas en el mensaje -no lo confirmaron- y se precipitaron al actuar, llevando al índice Dow Jones a perder en segundos todo lo que había ganado hasta antes del tuit. No todo lo que se ve es oro, dice un dicho
¿Realmente la cuenta de AP en Twitter fue hackeada? ¿O fue un descuido de seguridad del administrador de la cuenta de AP? Se dice que para obtener las credenciales de la cuenta de AP los atacantes se valieron de la técnica del phishing. Se entiende que el responsable de la cuenta de AP introdujo las credenciales en un sitio falso que se mostraba como el de Twitter. Y para llegar al sitio falso, tuvo que hacer click en un enlace. Este enlace lo pudo haber recibido por correo electrónico, chat o SMS; o haberlo clickeado en algún sitio web, incluyendo a las redes sociales. Entonces, ¿fue hackeo?
El manejo reiterado de que la cuenta de AP fue hackeada está llevando a cuestionar la seguridad de las redes sociales. Se ha planteado el uso de mecanismos de autenticación de doble factor. ¿Y dónde queda el usuario?
Nada que ver. Se trata de que los usuarios apliquen el sentido común en su vida digital. La amenaza existe, el riesgo existe, las herramientas de seguridad existen, no existe la concientización del usuario en cuanto a las prácticas de seguridad informática que mínimo debe aplicar.
Si el usuario sigue haciendo click en enlaces -sin mirar al menos la barra de direcciones a la que lo llevó para confirmar el dominio-, el problema persistirá. Si el usuario sigue usando contraseñas débiles o las comparte con terceros, si usa la misma contraseña en varias cuentas, si no la cambia con regularidad, entonces no hay mecanismo que asegure la cuenta. Decir que la cuenta fue hackeada queda como sólo un pretexto ante una irresponsabilidad en la gestión segura de la cuenta.