" />
ZOOM
GALERÍA
0 COMENTARIOS

Ni tan fácil ni tan difícil como pudieras pensar

Cómo robar una cuenta de Twitter

¿Qué valor tiene una cuenta de Twitter? Esto es algo singularmente difícil de calcular, puesto que en principio son gratuitas, pero si consiguen un considerable volumen de audiencia, o tienen un nombre particularmente atractivo, pueden convertirse en un producto más, sujeto a las leyes de oferta y demanda propias de la economía de mercado. En el caso de Facebook, dado que las cuentas son siempre nominales, ese riesgo casi no existe. Pero en Twitter, un identificador de cuenta atractivo puede tener un gran valor. Tanto es así que, al igual que ocurre con los dominios o con las direcciones de correo en Gmail, hay personas y empresas que se especializan en registrar muchos nombres potencialmente interesantes y, a partir de ese momento, intentar revenderlos por un valor superior (en algunos casos con un incremento brutal, es posible encontrar dominios sin uso y a la venta por más de 100.000 dólares, cuando su coste «base» no llega a los diez dólares al año. ¿Y por qué son interesantes comercialmente? Pues, claro, por su sencillez o ingenio, por su nivel difusión o, en no pocos casos, por corresponder con nombres de empresas, marcas o productos exitosos… o de reciente lanzamiento. ¿Un ejemplo? Imagina que, por cualquier razón, un día de 2006 te hubiera dado por comprar el dominio iphone.com y, ya puestos, hacerte también con esa cuenta de usuario en Twitter. En ese momento, el valor de ambos registros era, claro, nulo. Sin embargo, pasa el tiempo y, un buen día, Steve Jobs se sube a un escenario, presenta el smartphone en el que lleva años trabajando y, de repente, todo cambia. ¿Qué valor pasan a tener el dominio y la cuenta de Twitter?
Tener registrado un nombre no es, siempre, una garantía de que podrás mantenerlo contra viento y marea. Existen mecanismos legales por los que es posible reclamar la legítima propiedad de un nombre, al igual que también hay una gran baza abierta a la negociación. Internet, en estas cosas, puede parecerse bastante a un mercadillo callejero en el que regateas para hacerte con un MSX como el os regaló vuestro abuelo a tu hermano y a ti hace ya casi 30 años. En cualquier caso, tener una marca registrada a nivel internacional, o que se perciba una clara intencionalidad dolosa por parte del registrador, pueden ser de gran ayuda para que la situación se resuelva a favor de que, por Ley, debería ser su legítimo titular. La pregunta es si esto es justo o injusto. Y la respuesta no es nada sencilla.
Es normalmente, más sencillo, cuando la propiedad actual recae sobre un particular que, con buenas o no tan buenas intenciones, lo registró previamente. Tal es el caso, por ejemplo, de un joven argentino llamado Carlos Sobera. En su momento, registró una cuenta en Twitter con su nombre, que tiempo después fue reclamada por el popular presentador de televisión del mismo nombre. En este caso, el joven tuvo poco que hacer y, finalmente, terminó perdiendo la titularidad de la cuenta, a favor del presentador de la eterna ceja encarnada. Todo esto no es, en absoluto, baladí, como demuestra el hecho de que existan despachos de abogados especializados en Propiedad industrial e intelectual, que se han adaptado a las particulares circunstancias que se producen en Internet, y que ofrecen asesoría especializada en gestión de marcas o nombre online, tanto para evitar los posibles riesgos, como para reaccionar a posteriori. Un ejemplo de profesionales en esa rama es Audens, un equipo de abogados con los que hemos trabajado en The Unnamed Project S.L.L., editora de Tek’n’Life, en lo relacionado con el registro de la marca.

 

Nombres «molones»

Lo que tiene una solución razonable, que es el problema de nombras y marcas registradas, se vuelve más complejo cuando pasamos a otro tipo de nombres, que no son registrables y, sin embargo, sí que pueden resultar muy atractivos. Está claro que, si aprovechando algún fallo de seguridad, consigues hacerte con el control de la cuenta de Twitter de Katy Perry, pasará muy poco tiempo hasta que esta vuelva a su legítima (y adorable) propietaria (y se las tendrá que ver conmigo). En este tipo de circunstancias hay poco que hacer. Sin embargo… ¿y si tu cuenta de usuario de Twitter, tu dirección de correo de Gmail o de algún otro servicio «mola», pero no es en absoluto nominal? ¿Y si además eres un usuario «normal», es decir, que no cuentas con todos los medios que pueden ser necesarios para recuperarlo, es posible que te tengas que despedir de él para siempre. El último, y llamativo caso de este tipo, es el que ha sufrido Naoki Hiroshima, uno de los desarrolladores de Echofon y creador del servicio Cocoyon, que ha sufrido en primera persona la experiencia de convertirse en el objetivo de un ataque, cuyo objetivo era su cuenta de Twitter. Él mismo lo ha contado en su propio blog, y el medio estadounidense The Next Web se ha hecho eco de ello. Te contamos su historia, y cómo ha perdido su cuenta de Twitter, por la que habían llegado a ofrecerle 50.000 dólares.

Ser de las primeras personas que se registran en un servicio online que acaba de nacer, te ofrece la posibilidad de conseguir los nombres de usuario más codiciados, puesto que, literalmente, casi el 100% están disponibles. En bastantes casos, es posible que dicho servicio termine mordiendo el polvo o, manteniendo una humilde cuota de usuarios que le permita sobrevivir aún sin tener un futuro muy claro o, quizá, despertar el interés de una gran empresa (con una gran chequera) que la adquiera para sumarla a sus servicios. Esto es lo que llamaríamos, el estilo Marissa Mayer. Sin embargo, hay otra posibilidad que, aunque remota, es la que impulsa a la gran mayoría de los emprendedores a lanzar sus servicios online: el éxito. Ocurre pocas veces, pero cuando ocurre, nacen empresas como Google, Facebook, Twitter, LinkedIn… y ahí es cuando, haber sido de los primeros en llegar, te permite disponer de una dirección interesante en un servicio de éxito. Ese fue el caso de Naoki Hiroshima, que se registró en Twitter con el nombre de usuario @N (sí, sólo la arroba y la N de su inicial). Según él cuenta en su blog, tan atractiva es la dirección que ha llegado a recibir ofertas de hasta 50.000 dólares por ella. Sin embargo, hasta el momento no tenía ningún interés en deshacerse de ella. También cuenta que, en multitud de ocasiones, recibía en su correo el mensaje que envía la red social cuando intentas recuperar la contraseña de acceso por haberla olvidado, uno de los pasos más elementales dados por quienes intentan robar cuentas de servicios online.

Todo iba bien hasta hace algo más de una semana, cuando a la hora del almuerzo del 20 de enero, recibió en su móvil un mensaje de PayPal con un código de validación de un solo uso (un sistema de verificación de seguridad empleado habitualmente por muchos sistemas de pago electrónico). Señal de que alguien estaba intentando hacerse con los datos de acceso de su cuenta de PayPal. No concedió mayor importancia a lo sucedido, y siguió con su almuerzo, dando por sentado que el ataque comenzaba y terminaba ahí mismo.

Unas horas más tarde, al revisar su cuenta de correo electrónico, correspondiente a su dominio personal (que había registrado con la popular empresa GoDaddy) y al que accedía a través de Google Apps, encontró un mensaje con el asunto «Account Settings Change Confirmation» (confirmación de cambios en la configuración de la cuenta). Y después de ese mensaje, el vacío absoluto, ningún email más.

Esta es la reproducción de ese mensaje de correo:

  • From: <support@godaddy.com> GoDaddy
    To: <*****@*****.***> Naoki Hiroshima
    Date: Mon, 20 Jan 2014 12:50:02 -0800
    Subject: Account Settings Change ConfirmationDear naoki hiroshima,You are receiving this email because the Account Settings were modified for the following Customer Account:
    XXXXXXXX
    There will be a brief period before this request takes effect.
    If these modifications were made without your consent, please log in to your account and update your security settings.
    If you are unable to log in to your account or if unauthorized changes have been made to domain names associated with the account, please contact our customer support team for assistance: support@godaddy.com or (480) 505-8877.
    Please note that Accounts are subject to our Universal Terms of Service.
    Sincerely,GoDaddy
    —————–

 Tiene mala pinta, ¿verdad? Recibir un mensaje en el que la empresa con la que gestionas tu dominio te envíe un email confirmándote unos cambios que no has efectuado, y que tras ello tu correo (entre otras cosas) deje de funcionar, da muy mala espina. Así que, tras intentar acceder (sin éxito, claro), a su cuenta de usuario de GoDaddy, se puso en contacto con el servicio de atención al cliente de la empresa y explicó lo que había ocurrido. La persona al otro lado del teléfono le solicitó los seis últimos dígitos de la tarjeta de crédito asociada a la cuenta (a la que se cargaban los pagos de la misma), una medida bastante habitual. El problema es que la persona que había conseguido acceder a su cuenta, había modificado todos los datos de la misma. Todos, incluido la tarjeta de crédito, por lo que este sistema no sirvió a Naoki para recuperar el acceso a la misma. En ese momento, y a través del teléfono, no tenía ningún medio de demostrar que él era el legítimo propietario de la cuenta. La solución propuesta por el servicio de atención al cliente fue que remitiera una copia de un documento de identificación oficial, que demostrara que era quien decía ser, y el dueño del dominio. Así lo hizo y quedo a la espera de una respuesta, que recibiría en un plazo de 48 horas. El problema no estaba resuelto, pero sí en fase de solucionarse. 

¿Qué relación tiene el dominio de Naoki en GoDaddy con su cuenta de Twitter? Ahora para un segundo y piensa en cuántos servicios online estás registrado y utilizas tu email como sistema de verificación de acceso? Seguro que, ahora que lo piensas, son unos cuantos, ¿no? Y si tu atacante toma el control de tu cuenta de correo, podrá emplear la función de recuperación de contraseña de la que hablábamos antes. Y que, al tomar el control del dominio que tenía controlado en GoDaddy, el atacante podía hacerse con el control de la cuenta de correo electrónico. Controlar el dominio suponía controlar el correo, y controlar el correo, se traducía en poder obtener control de muchas de las cuentas de servicios de Naoki Hiroshima.

Basándose en anteriores experiencias, el programador y emprendedor japonés supuso que el objetivo de su atacante era hacerse con el control de su cuenta de Twitter, la codiciada @N y, este es un aspecto particularmente llamativo de la historia, un usuario de Facebook al que no conocía, le envió un mensaje a través de esta red social, recomendándole que cambiarla la cuenta de correo que tenía asociada a su cuenta de Twiter. Así lo hizo, cambiando la que se había visto comprometida, por otra que no dependía del dominio secuestrado y que, por lo tanto, quedaba fuera del alcance del atacante. Así, éste intentó varias veces emplear la función de recuperación de contraseña (con el fin de cambiarla desde el email, que también había secuestrado). Sin embargo, la rápida acción del atacado hizo que este plan no funcionara. Tras varios infructuosos intentos, el atacante empleó la función de soporte de Twitter (gestionada por Zendesk) para remitir una incidencia, que obtuvo el código #16134409. Este era el mensaje:

  • N, Jan 20 01:43 PM:
    Twitter username: @n
    Your email: *****@*****.***
    Last sign in: December
    Mobile number (optional): n/a
    Anything else? (optional): I’m not receiving the password reset to my email, do you think you could manually send me one?
    —————–

En la incidencia, el supuesto usuario de la cuenta @N indicaba que estaba intentando recuperar la contraseña de su cuenta, pero no la recibía, y pedía que se la enviaran de manera manual. La respuesta de Twitter fue solicitar más información, paso en el que el atacante desistió de esta vía, pero no de sus aviesas intenciones. Poco después, la víctima descubrió que el atacante se había hecho con el control de su cuenta de Facebook. Lo supo gracias a que sus amigos empezaron a preguntarle por su extraño comportamiento en la red social. Estaba claro que todo lo relacionado con el dominio y, por lo tanto, con su correo, estaba seriamente comprometido. Finalmente, tras varias acciones, el atacante decidió ponerse en contacto con él, enviándole un mensaje, que puedes ver a continuación:

  • From: <swiped@live.com> SOCIAL MEDIA KING
    To: <*****@*****.***> Naoki Hiroshima
    Date: Mon, 20 Jan 2014 15:55:43 -0800
    Subject: Hello.
    I’ve seen you spoke with an accomplice of mine, I would just like to inform you that you were correct, @N was the target. it appears extremely inactive, I would also like to inform you that your GoDaddy domains are in my possession, one fake purchase and they can be repossessed by godaddy and never seen again D:
    I see you run quite a few nice websites so I have left those alone for now, all data on the sites has remained intact. Would you be willing to compromise? access to @N for about 5minutes while I swap the handle in exchange for your godaddy, and help securing your data?
    —————–

Puede sonar un poco «Pedro Piqueras», pero este mensaje resulta escalofriante. Básicamente, el atacante le dice a Naoki que sí, que el objetivo del ataque es hacerse con el control de la cuenta @N, que tenía muy poca actividad. Y, aquí viene lo peor, le confirmaba que todos sus dominios registrados en GoDaddy estaban ahora en su poder, y que bastaría una sencilla operación adicional para que ya no pudiera recuperarlos nunca. Y no quedaba ahí la cosa, continuaba diciendo que había comprobado que, en dichos dominios, tenía algunos servicios online muy interesante, y que de momento los mantenía activos y con los datos de los mismos, intactos. Todo para terminar proponiendo un cambio, la codiciada cuenta de Twitter @N a cambio de recuperar el control de sus dominios. Y un plazo de cinco minutos para hacerlo.

Para confirmar lo mal que pintaba la situación, pocos minutos después recibió un email de GoDaddy:

  • From: change@godaddy.co
    To: <*****@*****.***> Naoki Hiroshima
    Date: Mon, 20 Jan 2014 17:49:41 -0800
    Subject: Update [Incident ID: 21773161] — XXXXX.XXX
    Unfortunately, Domain Services will not be able to assist you with your change request as you are not the current registrant of the domain name. As the registrar we can only make this type of change after verifying the consent of the registrant. You may wish to pursue one or more of the following options should you decide to pursue this matter further:
    1. Visit http://who.godaddy.com/ to locate the Whois record for the domain name and resolve the issue with the registrant directly.
    2. Go to http://www.icann.org/dndr/udrp/approved-providers.htm to find an ICANN approved arbitration provider.
    3. Provide the following link to your legal counsel for information on submitting legal documents to GoDaddy: http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA
    GoDaddy now considers this matter closed.
    —————–

En resumen, que GoDaddy no podía ayudarle con su problema, porque el no era actualmente el propietario del dominio, y que como entidad registradora, sólo podían efectuar cambios de acuerdo con el titular actual de los mismos. Lo siguiente era una lista de alternativas, que se resumían en intentar contactar con el propietario actual o, en todo caso, buscar un organismo de arbitraje. Y, cerrando el email, una línea en la que GoDaddy daba el problema por zanjado.

Como indica el propio Naoki, la razón por la que habían desestimado su reclamación era que él no era, actualmente, el propietario del dominio. Es decir, que en ese momento GoDaddy se había puesto en contacto con el actual propietario para preguntarle si estaba de acuerdo con el cambio. Claro, el actual titular era el «secuestrador» que, obviamente, dijo que no. Es curioso que ahora sí que hubieran tomado esa medida de seguridad, mientras que cuando fue el ladrón el que hizo el cambio, no se produjera dicha verificación. Un compañero de trabajo pudo ponerlo en contacto, directamente, con un ejecutivo de GoDaddy, que tras realizar algunas gestiones con el equipo de seguridad consiguió… sí, absolutamente nada. Quizá porque era un día festivo, especula la víctima.

Poco después, llegó un nuevo email del atacante:

  • From: <swiped@live.com> SOCIAL MEDIA KING
    To: <*****@*****.***> Naoki Hiroshima
    Date: Mon, 20 Jan 2014 18:50:16 -0800
    Subject: …hello
    Are you going to swap the handle? the godaddy account is ready to go. Password changed and a neutral email is linked to it.

¿Vas a hacer el cambio [de la cuenta de Twitter por los dominios]? La cuenta de GoDaddy está lista para ser enviada. Se ha cambiado la password y está asociada a una cuenta de correo electrónico neutral. Tras hablarlo con un amigo, y valorar las posibilidades de recuperar la cuenta de Twitter una vez que el atacante se hubiera hecho con el control, llegó a la conclusión de que lo mejor para evitar un desastre con su páginas y servicios era, sí, rendirse y cederle la cuenta al atacante

  • From: <*****@*****.***> Naoki Hiroshima
    To: <swiped@live.com> SOCIAL MEDIA KING
    Date: Mon, 20 Jan 2014 19:41:17 -0800
    Subject: Re: …hello
    I released @N. Take it right away.

Envió ese mensaje tras haber cambiado su nombre de usuario de @N a @N_is_stolen (N ha sido robado), confirmándole que podía hacerse con ella. La respuesta de su atacante, que se hizo rápidamente con el control de la cuenta, tardó tres minutos:

  • From: <swiped@live.com> SOCIAL MEDIA KING
    To: <*****@*****.***> Naoki Hiroshima
    Date: Mon, 20 Jan 2014 19:44:02 -0800
    Subject: RE: …hello
    Thank you very much, your godaddy password is: V;Mz,3{;!’g&
    if you’d like I can go into detail about how I was able to gain access to your godaddy, and how you can secure yourself

Tras darle las gracias, le daba la contraseña con la que podía recuperar el control de su cuenta de GoDaddy, y le ofrecía, si estaba interesado, la posibilidad de contarle cómo se había hecho con el control de su cuenta.

¿Responsables? PayPal y GoDaddy

¿Tú qué harías ante esa oferta? Lo lógico, sin duda, es aceptarla, para descubrir la brecha de seguridad que había empleado y, así, evitar que volviera a ocurrir. Esta fue la respuesta del atacante, que demuestra que el eslabón más débil de los sistemas de seguridad son, muchas veces, las personas:

  • From: <swiped@live.com> SOCIAL MEDIA KING
    To: <*****@*****.***> Naoki Hiroshima
    Date: Mon, 20 Jan 2014 19:53:52 -0800
    Subject: RE: …hello
    – I called paypal and used some very simple engineering tactics to obtain the last four of your card (avoid this by calling paypal and asking the agent to add a note to your account to not release any details via phone)
    – I called godaddy and told them I had lost the card but I remembered the last four, the agent then allowed me to try a range of numbers (00-09 in your case) I have not found a way to heighten godaddy account security, however if you’d like me to recommend a more secure registrar i recommend: NameCheap or eNom (not network solutions but enom.com)

Primer paso: llamó (el atacante) a PayPal y, con técnicas de ingeniería social básicas, pudo obtener los cuatro últimos dígitos de la tarjeta de crédito asociada a su cuenta en els servicio.
Segundo paso: con esos cuatro dígitos, llamó al servicio de atención al cliente de GoDaddy haciéndose pasar por el legítimo propietario de la cuenta de usuario (con sus dominios), y diciendo que había perdido su tarjeta, pero que recordaba los cuatro últimos dígitos de la misma (los que había obtenido en su llamada a PayPal. El tipo al otro lado del teléfono, le permitió probar varias combinaciones numéricas hasta dar con la adecuada.

En un ataque de ética formativa, el atacante también le daba consejos para evitar otro ataque de este tipo. En el caso de PayPal, que se pusiera en contacto con el servicio e indicara, claramente, que en su expediente figurara que no se debía revelar ningún dato de la cuenta por vía telefónica. En el caso de GoDaddy… la recomendación era emplear otra empresa más segura.

Esto hizo a Naoki preguntarse qué parte de la historia era más chocante, ¿la revelación de los datos por parte de PayPal, o que GoDaddy aceptara ese único dato como verificación de usuario? Tras decírselo al atacante, este lo dejó bastante claro:

  • From: <swiped@live.com> SOCIAL MEDIA KING
    To: <*****@*****.***> Naoki Hiroshima
    Date: Mon, 20 Jan 2014 20:00:31 -0800
    Subject: RE: …hello
    Yes paypal told me them over the phone (I was acting as an employee) and godaddy let me “guess” for the first two digits of the card

Aquí, confirmaba que había obtenido los datos de PayPal vía telefónica, haciéndose pasar por un empleado, y que GoDaddy le daba varias oportunidades para intentar adivinar los dos primeros dígitos. Adivinar los dos dígitos no es sencillo, claro, pero…

  • From: <swiped@live.com> SOCIAL MEDIA KING
    To: <*****@*****.***> Naoki Hiroshima
    Date: Mon, 20 Jan 2014 20:09:21 -0800
    Subject: RE: …hello
    I got it in the first call, most agents will just keep trying until they get it

Aquí es donde está la madre del cordero. La mayoría de los agentes de GoDaddy, según el atacante, permiten hacer tantas pruebas como necesites hasta dar con la combinación correcta. Y si uno te dice que ya has probado demasiadas veces, basta con colgar, volver a llamar, hablar con otro y empezar por donde lo habías dejado. Así, las 100 combinaciones posibles entre 00 y 99, pueden llevarte sólo unas pocas llamadas. Muy poco trabajo para un resultado tan goloso. Como cerrar la puerta del banco con un simple candado de taquilla de gimnasio.

¿Y qué hacer?

Las recomendaciones de Naoki Hiroshima son las siguientes:

  • No emplear dominios personalizados para acceder a páginas web: tras recuperar el acceso a su cuenta de GoDaddy, lo siguiente que recuperó fue su cuenta de correo, y uno de los primeros pasos que dio fue cambiar la dirección de inicio de sesión que había empleado hasta ese momento, por otra creada en Gmail. En caso de volver a perder el control sobre su dominio y, por lo tanto, sobre el correo asociado al mismo, la seguridad de la cuentas de servicios online a las que accede con esta ya no quedaría comprometida (puesto que la cuenta de Gmail, o de otro servicio de email online, no está relacionada con el dominio).
  • Otra recomendación, esta bastante más técnica, es alargar el TTL de la sesiones con el servidor de correo. Hacer que dure sólo, como era su caso, una hora, puede parecer más seguro, al obligar a la autentificación de manera más frecuente. Sin embargo, de haber tenido un TTL más largo (puede ajustarse hasta, por ejemplo, una semana de duración), podría haber seguido recibiendo los mensajes de su cuenta, aún pese a las acciones del atacante. Esto le habría permitido recuperar el control de las cuentas perdidas o comprometidas.
  • Siempre que sea posible, emplear sistemas de autentificación en dos pasos, cuanto más complejos mejor. Esta claro que una contraseña, un número de tarjeta o algún dato similar ha dejado de ser suficiente para la mayoría. Este sistema no es perfecto, pero sí que evita bastantes problemas.

Termina su publicación hablando de «Empresas estúpidas» (Stupid companies), como aquellas que facilitan parte de tu información personal a terceras personas, o aquellas que todavía emplean el obsoleto e inaceptable sistema de verificar la identidad de un usuario, simplemente, con los cuatro últimos dígitos de su tarjeta de crédito. Y recomienda no permitir que empresas como PayPay y GoDaddy almacenen información sobre tus tarjetas. En el primer caso, afirma que ya ha eliminado la suya de PayPal, y concluye afirmando que abandonará ambos servicios tan pronto como le sea posible.

 

No comments yet.

Deja un comentario