Twitter ha sido una de las redes sociales de mayor expansión durante 2009. Por lo tanto, eso motivó a atacantes a utilizar perfiles de Twitter con fines maliciosos y esta es una tendencia que viene en claro aumento a lo largo de los meses, demostrando que toda evolución tecnológica, es un potencial blanco de ataque; y que todas ellas poseen vulnerabilidades sobre las cuales los usuarios deben protegerse.
En los últimos meses, dada la importancia que ha adquirido esta red social, muchos medios de información on-line, como diarios y portales, han comenzado a utilizar el contenido que los usuarios generan en Twitter, para publicar en sus sitios web. Para ello, hacen uso de herramientas que muestran en tiempo real, los últimos contenidos generados en la red social, relacionados a la temática, o con un hashtag específico. Los hashtags son formas de etiquetar un contenido en Twitter para relacionarlo con una temática específica.
Tal es el caso del siguiente ejemplo, un diario latinoamericano mostrando en tiempo real los contenidos de la red social mientras se realizaba la ceremonia por la muerte de Michael Jackson:
Nótese que he marcado con un recuadro rojo un contenido que posee un enlace. Lamentablemente, muchas tecnologías se utilizan por su practicidad, pero no siempre se considera el factor seguridad al momento de la implementación. ¿Quién ha verificado que el contenido de ese enlace no sea malicioso?
Como verán, incluir, sin filtrar, los mensajes de twitter en las primeras planas de portales y medioses un agujero de seguridad que no ha sido mencionado ni considerado; teniendo en cuenta que las short-url pueden direccionar a contenidos maliciosos y malware.
A cualquier atacante, le basta con tomar un horario pico, enviar gran cantidad de mensajes con el hashtag que este monitoreando el portal y voila: malware en la home de un sitio benigno (y por lo general reconocido y con muchos lectores).
Lamentablemente, la voragine con la que crece la tecnología, hace que sea muy frecuente este tipo de usos, sin considerar los riesgos que pueden generarse para los usuarios. Además, las formas de minimizar los riesgos serían muy simples, como por ejemplo, en este caso, no mostrar los mensajes que posean enlaces con short-url o implementar una tecnología de reputación de enlaces, para bloquear contenidos maliciosos.
Mientras tanto, recuerden la importancia de no hacer clic en enlaces que se desconozca su reputación y seguridad.
Sebastián
