Seguridad: ¿dónde diablos están las llaves?

IMAGE: E. Dans (CC - BY)

Fue mi primera reacción al ver las primeras noticias sobre el impresentable hack a Twitter: «esta buena gente, en términos de seguridad, son una auténtica invitación al desastre».

Ahora, a medida que vamos teniendo más información sobre lo sucedido, mi intuición prueba ser completamente acertada: resulta que en Twitter no se habían limitado a desarrollar herramientas que permitían un control prácticamente omnímodo de las cuentas de los usuarios, sino que, además, esas herramientas estaban en manos de nada menos que unas mil personas de la organización. Visto así, no es de extrañar que la compañía llevase meses intentando fichar a un Chief Information Security Officer (CISO)… ¡es que ningún profesional de la seguridad en su sano juicio querría trabajar en un sitio así!!!

Cuando más de mil personas tienen las llaves de la puerta de tu casa, es completamente seguro que en algún momento, alguien va a entrar y va a hacer lo que no debería hacer. Es imposible mantener unas prácticas de seguridad mínimamente razonables cuando resulta que mil personas no solo tienen acceso a una herramienta, sino que además, esa herramienta permite llevar a cabo acciones prácticamente ilimitadas con una cuenta de usuario. La analogía es inmediata: Twitter está llena de monos con metralletas.

¿Qué beneficio obtenemos del hecho de contar con una herramienta que permite actualizar una cuenta de usuario como si fueras el propio usuario? En caso de tener problemas con un usuario, como un comportamiento indeseado, fraudulento, no conforme con los términos de uso, etc., un administrador debería, lógicamente, poder desactivar la cuenta, impedir el acceso del usuario a la misma o eliminar una publicación. Hasta aquí, todo bien: si somos hackeados, alguien podrá cerrar algunas cuentas o eliminar algunos tweets. Pero que sea capaz de escribir una actualización como si se tratase de algo escrito por el propio usuario es algo que, simplemente, no tiene ningún tipo de lógica ni de sentido, porque eso no es algo que un administrador deba poder hacer.

Si a eso añadimos que esa herramienta, claramente desproporcionada en su funcionalidad y que no debería existir, la tienen en sus manos más de mil personas, es decir, que has convertido a más de mil personas en administradores de las cuentas de todos tus usuarios con un nivel de acceso omnímodo, ¿de qué nos extrañamos? Lo mínimo que podía pasar – y de hecho pasó – es que algunos de esos más de mil empleados fueran unos irresponsables imbéciles que se dedicaban a inventarse incidencias para poder acceder a las cuentas de algunos de sus ídolos. De eso a un hack que te ponga en ridículo y que destroce la confianza que tus usuarios depositan en ti, va muy poco.

El último hack a Twitter no es más que una prueba de lo que ocurre cuando una organización descuida completamente sus prácticas de seguridad y las convierte en una auténtica opereta. En realidad, la compañía tuvo una enorme suerte de que quienes se propusiesen acceder a esas cuentas no fuesen profesionales, sino simples aficionados, porque todo, desde el propio hack hasta las reacciones de la compañía, prueban lo desastroso de la situación.

Que más de mil personas tengan acceso a una herramienta de administración que nunca debió existir es la evidencia de que, en Twitter, nadie sabe dónde diablos están las llaves de nada. Es lo mínimo que puede exigirse a una compañía en términos de seguridad: qué sepa qué personas tienen acceso a qué procedimientos. Si no lo sabes, puede pasar cualquier cosa, lo que sea, que la compañía, simplemente, dará palos de ciego durante horas para simplemente intentar entender qué es lo que está pasando. Y el problema, en este caso, no es la información personal de sus usuarios, que Twitter recopila más bien poca, sino su imagen pública.

Si eres usuario de una cuenta de Twitter y le das una mínima importancia a lo que pones en ella, si depende tu imagen de ella, o si es una cuenta corporativa, vete pensando qué vas a hacer y cómo vas a reaccionar si este problema o uno similar vuelve a repetirse, porque las probabilidades son, desgraciadamente, elevadísimas. La cultura de seguridad de una compañía que ha demostrado ser tan desastrosa no se cambia de un día para otro. La seguridad de Twitter es un peligro. El otro día únicamente lo podíamos intuir. Ahora, además, lo sabemos.


This article is also available in English on my Medium page, «Twitter’s security: who’s got the keys?«


16 comentarios

  • #001
    sin censura - 27 julio 2020 - 18:44

    Jodo como está el patio

    Twitter es un peligro, antes era una herramienta cool para poner a la empresa en modo digital
    Tok tok es un peligro amarillo, y tus datos acaban a saber donde
    FB ya sabemos lo que es… lo mismo pero peor…

    A los que os gusta cotillear en las RRSS vais acabar en la escalera con la vecina… O como en el anuncio del fuet haciendo video llamadas dentro del chalete

  • #002
    Asier - 27 julio 2020 - 18:46

    Es fácil de decir eso de que ni siquiera ellos tengan acceso a escribir en nombre del usuario pero la práctica es más complicada. Si un administrador puede resetear la contraseña o cambiar el correo asociado (como parece lógico y útil en situaciones de pérdida de contraseña) nada le impediría acceder a una cuenta. Si los administradores no pueden resetear el acceso a una cuenta entonces corremos el riesgo de que las cuentas se pierdan para siempre si el usuario pierde su contraseña o forma de acceso. Por no hablar de otras funcionalidades que por seguridad se verían limitadas como hacer que bots/programas twitteen por ti.

    Lo digo sin querer quitarle importarcia a los graves problemas de seguridad pero una cosa es la teoría y otra la práctica de gestionar una red social con millones de usuarios.

    • Jorge - 28 julio 2020 - 08:23

      Esa no es la forma en la que funcionan estas cosas. El administrador no puede cambiar la contraseña o el email. Pueden iniciar el proceso, pero es el usuario el único que debe poder hacerlo. Esto técnicamente no es difícil. Si el usuario pierde acceso al correo electrónico asociado a la cuenta y al mismo tiempo olvida la contraseña eso es problema del usuario no del admin. Los admins no deben tener poderes absolutos para solucionar que el usuario pierda acceso a la cuenta. El único poder necesario del admin es el de cerrar cuentas.

      Para que un bot o programa twittee por ti tampoco hace falta un acceso para el admin a tu cuenta. Tan solo hace falta una clave que se consigue usando la autenticación por el servicio OAuth que soportan Twitter y muchos otros servicios.

      No hay excusa para el acceso que tienen a las cuentas. Ninguna excusa, ni en teoría ni en practica. Da igual cuantos usuarios tengan.

      Fdo: Ingeniero Informático

      • Gorki - 28 julio 2020 - 12:32

        No lo veo tan sencillo. En algún momento se monta la pagina a partir de una base de datos con los twit ¿cómo impides el añadir a esa BD twits falsos?

        En otro momento se monta la pagina de del TL de un usuario, ¿Cómo impides que a esa página se añadan falsos tuwit a nombre de quien sea?.

        Desde el interior de la compañía, gente que conozca la aplicación tiene muy fácil hackearla, aunque no tenga acceso a las claves.

        • Carlos Quintero - 28 julio 2020 - 14:33

          Gorki, creo que sigues pensando en el típico «informático listillo» que puede «colar» cualquier cosa en la BD o en el código de la aplicación. Eso sigue siendo así en muchas empresas (no digamos ya si son pequeñas o medianas) pero no es así en empresas que se toman la seguridad en serio. Las más punteras al respecto son los «cloud providers» (Amazon AWS, Microsoft Azure, Google Cloud) porque si ya es malo que hackeen las cuentas de usuarios individuales que publican cosas sin demasiada importancia, imagínate que hackeen los sistemas informáticos que muchas empresas han sacado de sus data centers físicos y los han puesto en la nube… desde hace unos 20 años se han desarrollado formas de trabajo para los de «Desarrollo» y «Sistemas» con tales controles de seguridad automáticos y manuales que, si está bien diseñada y ejecutada la forma en que se modifica el «entorno de producción», no te digo que no sea posible hacer lo que dices, pero desde luego ni es fácil ni lo puede hacer una sola persona si no está en connivencia con algunas más.

      • Asier - 28 julio 2020 - 15:09

        Ni siquiera se trata de una cuestión informática, sino de lógica: ¿en última instancia quién está al control? ¿quién posee la clave que da acceso a twittear? (donde digo clave léase contraseña, acceso al correo electrónico asociado o cualquier otro sistema de autenticarse).

        Si la clave solamente la posee el usuario se corre el riesgo de perder para siempre el acceso. Si crees que puedes resetear la contraseña de un usuario mediante correo electrónico u otro sistema de terceros entonces estás delegando la seguridad de acceso a tu plataforma a terceros.

        Y si permites la creación de tokens independientes de los credenciales de acceso del usuario, está claro que has creado otra potencial vía para que un agente malicioso twittee por ti lo que no deseas.

        Al final es el viejo dilema entre seguridad y conveniencia.

  • #007
    Pedro M. Álvarez - 27 julio 2020 - 19:15

    Según WhatsApp, las conversaciones están cerradas de extremo a extremo, pero la llave la tiene WhatsApp, o mejor dicho, Facebook ahora. ¿Quién se cree que no puede acceder a la información de los mensajes, máxime cuando llegue la publicidad contextual autorizada para poder seguir utilizando WhatsApp? Puede que otros no, pero ellos sí. La pregunta es ¿quién vigila al vigilante?

    • Asier - 28 julio 2020 - 15:33

      No, ni siquiera ellos pueden leer los mensajes.

  • #009
    Grupal Abogados Málaga - 27 julio 2020 - 19:37

    Sin duda alguna y parece ser que cada vez somos más conscientes de ello que nuestros datos están en manos de los poderosos y delincuentes. La mejor forma de combatir esto es con cabeza y nunca dar nuestros datos personales a las redes sociales por mucha confianza que transmitan. No os podeis imaginar la cantidad de casos que llevamos en nuestro bufete de abogados de Málaga por suplantaciones de identidad de perfiles y robo de datos bancarios para realizar compras fraudulentas.

    • Gorki - 27 julio 2020 - 20:08

      Por fin alguien sensato, nunca dar nuestros datos personales a las redes sociales . Eso es lo que hago yo y si este seudonimo me empieza a dar problemas lo mato y saco otro.

      Pero el problema es para muchas personas que utilizan las redes para dar a conocer su «Marca Personal» y para las empresas que buscan darse a conocer .

      Si no ponen su nombre no dan «lustre» a su marca , pero si ponen su nombre y les suplantan la cuenta, sufren las consecuencias.

      Es un dilema, que se soluciona con un buen Community Manager que revise con cierta frecuencia, (por ejemplo dos veces al día), lo que se dice en su nombre. Y si alguien los suplanta, los borre el twit y cambia la contraseña.

      • Pedro Torres Asdrúbal - 28 julio 2020 - 17:35

        Son tan POCOS los datos personales que tenemos que proteger…

        Y ello no quita que supervisemos el uso de esos datos que hacen otros, por ejemplo, asegurándonos que los movimientos en nuestra cuenta bancaria son correctos.

        Hablando de pseudónimos, si buceas en este blog encontrarás cuando comentaba con ni nombre real.

  • #012
    JM - 27 julio 2020 - 21:05

    Ya dije yo que cada empresa tiene su filosofía o «misión» y la misión de las aplicaciones que buscan tener una adopción masiva para poder tener beneficios siempre van a colocar a la seguridad en último lugar mucho, pero mucho después del UI, la facilidad de uso y realmente todo lo demás.

    La pregunta es: ¿me va a conseguir usuarios la seguridad? ¿sobre todo cuando a la mayoría de la gente no le preocupa?

  • #013
    Pedro Torres Asdrúbal - 28 julio 2020 - 11:05

    Un excelente ejemplo de como la seguridad no está en nuestras manos por muy hackivistas que seamos.

    You need two to tango.
    Se necesitan dos para bailar un tango.

    Me recuerda a wikileaks, que medio ejercito tenía acceso a la base de datos de inteligencia.

    La seguridad es un coste para la empresa. Google y Apple han resistido la tentación, si bien su prestigió tiene un precio demasiado alto para jugárselo.

  • #014
    Xaquín - 28 julio 2020 - 15:34

    La pregunta está a huevo, para hacer como otros y trolear lo de «en el fondo del mar». Pero quiero ser más pesadito e repetir la pregunta, con otro tipo de elementos más imprescindibles en la vida del planeta :¿Dónde están las neuronas?

  • #015
    sin censura - 28 julio 2020 - 15:58

    Bueno ya que nadie responde como creo que se debería de hacer…. mi aportación, hace años que los administradores de una aplicación informática no tienen porque conocer el password real de un usuario. Es una mala práctica que el administrador conozca esa password, pueda guardarla en formato abierto, etc, etc

    ¿Y cómo puede el administrador trabajar con las passwords? Muy sencillo teniendo permiso de superusuario. El administrador debe de tener un sistema que encripte esas passwords y guardarlas a su vez en un sistema confiable. Si el usuario de twitter «edans» utiliza la password «123456» esa password encriptada para ese usuario(algoritmo de encriptación por ejemplo da «Faddcc435» y esa misma password para el usuario «asier» da «Faaacc432». Pero en ningún momento el admin deber poder tener acceso a «123456», ni guardarse en ningún sitio. De hecho solo vale para validar y crear el password encriptado…

    Ningún admin de una aplicación por ejemplo, puede escribir tweets en su nombre ya que no conoce la password «123456» que si está usando un modo de encriptación seguro debería poder usarlo. Y el password encriptado solo se puede usar para una vez que una persona entra poder chequear que realmente es «edans» y no un hacker o un usuario que prueba o incluso un admin. Ese admin si puede borrar,, resetear passwords siempre y cuando se lo pida. Si twitter no funciona así y hay 1000 tíos que conocen el pasword «123456» entonces es una puta mierda de aplicación. Espero que no sea así por vuestro bien. A mi me da lo mismo no tengo ni tendré twitter

  • #016
    Maicro - 28 julio 2020 - 17:38

    Deben de estar de moda las cagadas de estas características de las empresas.

    Los usuarios de Garmin estamos temblando desde el viernes por el hackeo que han sufrido. Ayer, todavía no habían conseguido reestablecer todos los servicios. Pero ya se da por hecho que sus usuarios tienen sus datos personales, como su domicilio, al mejor postor.

Dejar un Comentario

Los comentarios están cerrados