Activistas alrededor del mundo confían en plataformas como Facebook y Twitter para comunicar y defender sus derechos en regímenes represivos, lo cual convierte a sus cuentas en blancos de ataque. Un adversario que obtiene el control sobre una cuenta puede silenciar y ridiculizar a la víctima, así como crear incertidumbre y distribuir información falsa. Estos secuestros de cuenta afectan a los usuarios en riesgo, incluyendo periodistas, activistas y defensores de derechos humanos, pero el impacto puede ser mitigado mediante la utilización de los sistemas automáticos de recuperación de cuenta desarrollados por las compañías de redes sociales, como los formularios de reporte en línea.
Sin embargo, recientemente la Línea de Ayuda en Seguridad Digital de Access Now ha descubierto que estos ataques han evolucionado, haciéndolos mucho más difíciles de resolver. En Venezuela, Bahréin, Myanmar y otras partes del mundo, activistas afectados por esta nueva forma de secuestro de cuentas — la cual llamamos “Doubleswitch”— pierden control sobre sus cuentas, y además, enfrentan dificultades al tratar de recuperarlas mediante los mecanismos estándar, y en algunos casos pierden control para siempre.
Para quienes aún no lo saben, las cuentas de Twitter y Facebook de @MilagrosSocorro han sido hackeadas desde esta mañana. Atentos…
— Melanio Escobar (@MelanioBar) January 9, 2017
Caso de estudio: Venezuela
La Línea de Ayuda de Access Now se percató de esta nueva forma de ataque gracias a reportes enviados por activistas en Venezuela; país que actualmente atraviesa un periodo de enérgicas movilizaciones sociales.
El 9 de Enero de 2017, la Línea de Ayuda recibió una solicitud de asistencia de Milagros Socorro, reconocida periodista y escritora, quien reportó que su cuenta de Twitter había sido secuestrada. Un mes después, recibimos una segunda solicitud de ayuda con características similares. En este segundo caso, el afectado era Miguel Pizarro, diputado de oposición y defensor de derechos humanos.
#Ahora | Hackean cuentas de Twitter y Facebook de la periodista Milagros Socorro. pic.twitter.com/TFgMi9Zu8C
— Espacio Público (@espaciopublico) January 8, 2017
Vale mencionar, que la línea de Ayuda de Access Now trabaja regularmente con miembros de la sociedad civil brindando asistencia en incidentes relacionados a secuestro de cuentas. De hecho, aproximadamente 20% de los casos en la Línea de Ayuda involucran alguna forma de recuperación de cuentas. Pero estos ataques eran diferentes.
En ambos casos, los atacantes obtuvieron acceso a la cuenta de Twitter de las víctimas (se desconocen los detalles sobre el compromiso inicial). Dichas cuentas tenían el status de “verificadas” y se encontraban marcadas con la insignia azul en el perfil de los usuarios, además de poseer una gran cantidad de seguidores. Luego del compromiso inicial, los atacantes actualizaron la información de las cuentas, cambiando la contraseña y la dirección de correo electrónico asociada. Posteriormente, los atacantes cambiaron también los nombres de usuario de @MilagrosSocorro a @DESAMORTOOT en el primer caso; y de @Miguel_Pizarro a @PizarroPSUV y luego a @BuscoAsao en el segundo.
Aprovechando una funcionalidad de Twitter que permite la reutilización de nombres de usuario, los atacantes registraron cuentas de Twitter con los nombres de usuario originales, los cuales ahora estaban disponibles, y conectaron estas cuentas con direcciones de correo electrónico bajo su control. Fueron capaces de hacerse pasar por Socorro y Pizarro. Cuando las víctimas intentaron recuperar sus cuentas, los mensajes de confirmación de Twitter fueron enviados a los correos electrónicos de los atacantes, quienes pretendieron que los problemas habían sido resueltos. Seguidamente, los secuestradores procedieron a eliminar una de las cuentas originales, dificultando los esfuerzos de recuperarla de las víctimas.
El personal de Twitter trabajó de cerca con las víctimas para ayudar a recuperar las cuentas y Socorro y Pizarro lograron recuperarlas. Desafortunadamente, los atacantes ya habían distribuido información falsa usando las cuentas comprometidas, e inclusive eliminaron Tweets legítimos.
Anatomía del ataque: ¿Cómo funciona el “Double Switch”?
Esta nueva forma de ataque no es exclusiva de Twitter, ni está pasando únicamente en Venezuela. Nuestra Línea de Ayuda ha confirmado que el ataque es también posible en Facebook e Instagram. La clave para el éxito de este ataque es la misma en todas las plataformas: los mecanismos de recuperación estándar se vuelven inefectivos, permitiendo a los atacantes mantener el control de la cuenta de víctima por más tiempo.
Con el ataque “Doubleswitch”, un secuestrador toma el control de la cuenta de la víctima con alguno de los diversos vectores de ataque. Los usuarios que no han habilitado alguna forma de autenticación de dos factores en sus cuentas son especialmente vulnerables. Por ejemplo, un atacante puede engañar a la víctima a revelar su contraseña por medio de Phishing. Si el usuario no activó la autenticación de dos pasos, no posee una segunda línea de defensa. Una vez que se tiene el control de la cuenta, los atacantes pueden enviar mensajes y sutilmente cambiar la información de la cuenta, incluyendo el nombre de usuario. El nombre de usuario original pasa a estar disponible, permitiendo a los atacantes registrar una nueva cuenta con el nombre de usuario original pero información de contacto diferente. Si la víctima intenta recuperar la cuenta restableciendo la contraseña, el mensaje de recuperación será enviado al correo electrónico de los atacantes.
Hay consecuencias serias a este tipo de ataque. Las víctimas como Socorro y Pizarro pierden tiempo de su trabajo y la habilidad de comunicarse con sus seguidores. Los atacantes pueden abusar del alcance y la influencia de la víctima. Algunos usuarios podrían no poder recuperar sus cuentas del todo, y aún cuando lo hicieran, deben invertir una cantidad de tiempo y esfuerzo significativos.
Lecciones aprendidas del ataque “Doubleswitch”
¿Qué podemos aprender de este ataque?
- Los atacantes pueden bloquear el acceso a las cuentas de forma permanente o extender el tiempo de control sobre las cuentas al cambiar el nombre de usuario y eliminar la cuenta original.
- El ataque “Doubleswitch” confunde a los seguidores potenciales y vuelve inefectivos los mecanismos de recuperación.
- Las plataformas de redes sociales no notifican a sus usuarios sobre cambios en el nombre de la cuenta.
- Este ataque es reproducible en otras redes sociales, incluyendo Facebook e Instagram.
Agradezco el apoyo de @accessnow, @espaciopublico y @ipys en la recuperación de esta cuenta de Twitter. Mil gracias.
— Milagros Socorro (@MilagrosSocorro) January 11, 2017
¿Cómo prevenir el ataque “Doubleswitch”?: Nuestras recomendaciones
Reconocemos los constantes esfuerzos de Twitter de trabajar con la sociedad civil y respetar los derechos humanos. Las empresas privadas no son actores en los tratados de derechos humanos, pero si tienen la responsabilidad de respetar estos derechos y eso implica adoptar políticas y prácticas para prevenir, mitigar y remediar los daños causados o potenciados por sus plataformas.
Esta nueva forma de ataque expone brechas imprevistas en las políticas de Twitter y las características de las cuentas. Además esclarece las brechas de seguridad para otras compañías, y debe servir como advertencia para los usuarios de redes sociales. Por lo tanto, recomendamos:
- Usuarios en riesgo deben habilitar la autenticación de dos factores para prevenir que los adversarios tomen control de sus cuentas en primer lugar;
- Twitter — y otras plataformas de redes sociales con características similares, como Facebook e Instagram — deben actualizar sus características y reglas considerando el ataque Doubleswitch;
- Para asegurar una solución a largo plazo, las plataformas de redes sociales como Twitter deben consultar con las víctimas y las partes interesadas para actualizar sus políticas, en lugar de hacerlo de manera unilateral, lo cual puede resultar en soluciones a corto plazo; y
- Las plataformas de redes sociales deben además implementar métodos alternativos para autenticar a sus usuarios, como autenticadores basados en aplicaciones para teléfonos inteligentes, que no requieren el registro de un número de teléfono. Los números de teléfono pueden exponer la identidad de los usuarios y ponerlos en un riesgo mayor.
Sobre Access Now
La Línea de Ayuda en Seguridad Digital de Access Now trabaja con individuos, activistas, periodistas, defensores de derechos humanos y organizaciones alrededor del mundo para protegerlos en Internet. Brindamos consejo en seguridad digital y respuesta rápida en casos de emergencia. La Línea de Ayuda en Seguridad Digital es un recurso gratuito para los miembros de la sociedad civil alrededor del mundo. Nuestros servicios 24/7 se encuentran disponibles en ocho idiomas.
En Access Now (https://accessnow.demo.cshp.co) defendemos y extendemos los derechos digitales de usuarios en riesgo alrededor del mundo. Combinando políticas innovadoras, incidencia global y soporte técnico directo, luchamos por comunicaciones abiertas y seguras para todos y todas.
Somos un equipo de 40 personas, con personal local en 10 ubicaciones alrededor del mundo. Mantenemos 4 entidades legales: Bélgica, Costa Rica, Túnez y Estados Unidos, con nuestros equipos técnicos, de incidencia, políticas, financiamiento y operaciones en todas las regiones.