Esta semana, la Comisión de Bolsa y Valores de los Estados Unidos (SEC) sufrió una violación vergonzosa (y que conmocionó el mercado) en la que un pirata informático obtuvo acceso a su cuenta de red social X y publicó información falsa sobre un anuncio muy esperado de la SEC relacionado con bitcoin. La agencia recuperó el control de su cuenta y eliminó la publicación en menos de una hora, pero la situación es preocupante, especialmente teniendo en cuenta que la destacada y respetada firma de seguridad Mandiant, propiedad de Google, vio comprometida su cuenta X en un incidente similar. la semana pasada.
Aún están surgiendo detalles sobre lo que sucedió exactamente en cada caso, pero hay puntos en común que hicieron posible la apropiación de cuentas y hay formas de protegerse.
Fundamentalmente, ambas cuentas tenían la protección digital conocida como “autenticación de dos factores” desactivada en el momento de las adquisiciones. También conocida como 2FA, la defensa requiere un código numérico rotativo o un dongle físico además de las credenciales de inicio de sesión de una persona, por lo que no todo depende solo de un nombre de usuario y contraseña. La SEC aún no ha dicho si desactivó accidentalmente los dos factores como resultado del cambio de política de X en febrero de 2023, que hizo que solo las cuentas que pagaran una suscripción Blue tuvieran acceso a los códigos de dos factores enviados por mensaje de texto. mandante implicado el miércoles que este cambio fue la razón por la que no tenía activada la protección para su cuenta X, diciendo: “Normalmente, 2FA habría mitigado esto, pero debido a algunas transiciones del equipo y un cambio en la política 2FA de X, no estábamos protegidos adecuadamente. «
Mandiant dijo que los piratas informáticos pudieron adivinar la contraseña que protegía su cuenta X en un ataque de “fuerza bruta”. X mismo dijo el martes que el hackeo de la cuenta de la SEC fue el resultado de que “un individuo no identificado obtuvo control sobre un número de teléfono asociado con la cuenta @SECGov a través de un tercero”.
Los dos incidentes establecen una lista de los pasos más importantes que puede seguir para bloquear su cuenta X. Primero, asegúrese de que su cuenta esté protegida por una contraseña única y segura. En segundo lugar, active la función de dos factores en su cuenta o, si cree que ya la tiene activada, verifique para asegurarse. La decisión de X de hacer que la gente pague por una forma básica de dos factores es problemática. También creó confusión porque la compañía instó a los usuarios gratuitos a abandonar los SMS de dos factores, pero luego aparentemente simplemente desactivó la protección por completo para aquellos que no lo hicieron. Esto probablemente dejó a un grupo de usuarios en una situación en la que creen que tienen activada la autenticación de dos factores, pero en realidad no la tienen.
Para confirmar que tiene activado el sistema de dos factores o habilitarlo por primera vez, inicie sesión en su cuenta X, vaya a Configuración y privacidadentonces Seguridad y acceso a la cuenta, Seguridady luego Autenticación de dos factores. (Tú también puedes haga clic aquí si ya ha iniciado sesión en X). En esa pantalla, puedes elegir entre usar la autenticación de dos factores con una aplicación generadora de código o una clave de seguridad física. También puedes generar códigos de respaldo para que tu cuenta inicie sesión en X incluso si pierdes el acceso a tu segundo factor.
Finalmente, verifique que no haya un número de teléfono vinculado a su cuenta X que pueda usarse para recuperar la cuenta. Twitter utiliza números de teléfono para «verificar» cuentas de alto perfil y también ofrece una función llamada «Protección adicional con contraseña», a través de la cual «debe proporcionar el número de teléfono o la dirección de correo electrónico asociada con su cuenta para poder restablecer su contraseña». Sin embargo, parece que al tener un número de teléfono asociado a su cuenta X, la SEC se estaba poniendo en mayor riesgo, porque los atacantes podrían obtener el control de la cuenta tomando primero el número de teléfono asociado mediante un ataque conocido como intercambio de SIM. .
«Elimine su número de teléfono de Twitter por completo para asegurarse de evitar la amenaza del intercambio de SIM con el riesgoso flujo de restablecimiento de contraseña basado en mensajes de texto de Twitter», dice Rachel Tobac, investigadora de cuentas comprometidas y directora ejecutiva de SocialProof Security desde hace mucho tiempo. Agrega que los usuarios de X deben «activar 2FA (al menos recomiendo el basado en aplicaciones) y asegurarse de tener una contraseña segura en la cuenta».
Aunque X lo ha hecho más complicado para permitir una seguridad sólida de la cuenta, vale la pena aprender de los errores de la SEC y de Mandiant.