Un desastroso hackeo sobre Twitter que afecta a muchos de sus usuarios más prominentes pone de manifiesto las inaceptables prácticas de seguridad de la empresa del pajarito azul, convertida a lo largo de los años en una herramienta con una importancia desmesurada capaz de generar no pocos problemas en caso de mal uso, y que, como podemos ver, está muy lejos de responder a ello con un mínimo de responsabilidad.
Que todo es susceptible de ser hackeado es una verdad incuestionable. Pero igualmente verdadero es que todos aquellos que alcanzan un determinado nivel de relevancia están o deberían estar obligados a preverlo de una manera mínimamente adecuada, a tener planes de contingencia que permitan evitar posibles daños. La evolución de los acontecimientos en el caso de Twitter revela claramente que la compañía no solo no ha sido capaz de hacer algo así, de gestionar su seguridad con la profesionalidad suficiente como para evitar esos posibles daños – no los que han tenido lugar, sino los que serían susceptibles de haber ocurrido cuando alguien, aparentemente, puede tomar control de cualquier cuenta de Twitter – y, además o incluso peor, carecen de una rutina adecuada para proporcionar rápidamente información a sus usuarios, solucionar el incidente y restaurar el servicio con todas las garantías.
La catástrofe ocurrida en Twitter entre ayer y hoy es completa y absolutamente imperdonable, una irresponsabilidad inaceptable. Cualquiera puede ser objeto de un ataque, sí, pero ese ataque nunca debería posibilitar que alguien tomase control de la cuenta de ninguno de tus usuarios y que hiciese con ellas lo que le diese la gana. Que un usuario se ponga en peligro por utilizar una contraseña débil o por dar acceso a su cuenta a una aplicación no fiable, puede ser. Pero que un usuario con todas sus rutinas de seguridad en orden se encuentre con que pierde el control de su cuenta – y de su imagen pública, con eventuales responsabilidades legales incluidas – porque alguien en Twitter no ha hecho sus deberes o no los ha hecho con el nivel de responsabilidad que debería tener, es inaceptable.
Ese nivel de control sobre la cuenta de un usuario jamás debería ser posible, ni siquiera debería existir ninguna herramienta dentro de la compañía que permitiese hacer algo así. Como compañía, es razonable que puedas desconectar una cuenta o eliminar un tweet, pero JAMÁS tuitear como ese usuario. Nadie, absolutamente nadie desde dentro de Twitter debería tener la posibilidad de obtener el control de la cuenta de un usuario y de generar contenido de ningún tipo desde ella. ¿Qué podría pasar? ¿Hacer un anuncio desde una cuenta corporativa que haga caer su cotización? ¿Acceder a la cuenta de un líder mundial y anunciar un ataque a otro país? WTF?
Mucho menos aún debería, ni siendo empleado ni siendo el mismísimo Jack Dorsey, ser capaz de obtener un listado de contraseñas, que como es bien sabido, deberían estar fuertemente cifradas, inaccesibles incluso para la propia compañía, y con garantías totales en todo momento.
Que alguien sea capaz de acceder a los sistemas de Twitter entra dentro de la categoría de accidente posible. Pero que a raíz de ese acceso pueda hacer lo que ha hecho, acceder a cuentas de usuarios y tuitear como si fueran ellos, elimina el matiz de «anecdótico» y lo convierte en inaceptable. Las cosas dejan de ser «una broma» o «un incidente aislado» y deben escalar para ser objeto de responsabilidades legales. Pero incluso cuando podemos comprobar que todas esas irresponsabilidades pueden ocurrir y que la compañía, obviamente, no ha hecho bien sus deberes en el ámbito de la seguridad, lo siguiente es incluso más grave aún: no ser capaz de tener una mínima rutina para tranquilizar a tus usuarios y, sin ningún tipo de mensaje explicativo, limitarte a cerrarles el acceso a sus cuentas durante muchas horas.
Ya que no tienes suficiente responsabilidad como para mantener tu casa a salvo de sinvergüenzas, por lo menos, tienes que saber comunicar rápidamente lo que ha pasado, generar tranquilidad y tratar a tus usuarios como se merecen. A estas alturas, muchas horas después del inicio del desastre, lo único que he recibido de la compañía es una patada que me echa de mi cuenta, me pide que resetee mi contraseña y, cuando lo intento, me devuelve una estúpida pantalla azul que me dice que «algo ha ido técnicamente mal». Genial. Ni una explicación, ni algo que me permita saber si mi cuenta está a salvo y no va a empezar a tuitear estupideces fuera de mi control, ni una disculpa… nada. Silencio total. Como un «estamos de vacaciones, o un «está pasando… estamos comiendo». Ni en el blog de la compañía, ni en ningún otro canal, más que en unos cuantos tweets (gran consuelo cuando no puedes ni entrar en tu cuenta para verlo). Y eso, muchas horas después de iniciarse el problema. Cero en responsabilidad, cero en profesionalidad, y cero en gestión de crisis.
Completamente inaceptable.
This article was also published in English on Forbes, «Twitter: the lights are on, but there’s nobody home«
En Twitter los usuarios son el producto.
Los productos no se quejan.
[Ironic mode On] Oye, no te hagas problema, hay una nueva red social, se llama Tik Tok, dicen que es muy popular, y hasta ahora no ha comprometido la seguridad de nadie. Pruébala
Puede ser que Somoza sea un hijo de puta, pero es nuestro hijo de puta [/Ironic mode Off]
Y aquella vez (28 junio 2020) dije:
Ciertamente, Javier, a mí tampoco terminó de convencerme el análisis sobre TikTok. Es muy cierto que hay problemas técnicos que no deberían darse, pero considero que si ocurren es más por descuido, desorganización, poco respeto al cliente, limitada capacidad de análisis ético o legal o ganas de extraer hasta el último dato vendible y muchísimo menos por malicia, conspiración empresarial o plan malévolo estatal para dominar el mundo. ¿O esto es válido solamente si se trata de una empresa norteamericana y no lo es si se trata de una china?
Podríamos dar un vistazo a lo que Enrique le contestó a Marimar Jiménez hace unos días en su última pregunta sobre TikTok y hacer el ejercicio de reemplazar TikTok por Twitter, WeChat por Facebook y China por Estados Unidos. El resultado, como puedes ver, suena coherente:
«P. ¿Qué debería hacer Twitter para sacudirse todas las críticas? Si lo hace, ¿qué futuro ves a la plataforma?»
«R. Es imposible que lo hagan. Es un problema de definición, de cultura empresarial, de toda una manera de hacer las cosas, incluso de filosofía vital. Twitter no es una red social, sino la auténtica avanzadilla de la americanización del mundo, del intento de exportar la sociedad y los usos de Estados Unidos al resto del mundo, como lo es Facebook y como veremos venir muchas cosas más.»
En todo caso, el que un análisis suene bien no significa que sea necesariamente verdadero y esto es válido tanto para las críticas a TikTok como a Twitter. En contraposición, tampoco hay que olvidar que tanto Somoza como Ortega han estado muy lejos de ser considerados buenos gobernantes y que efectivamente detrás de ambos (no de uno solo de ellos) había grandes poderes estatales que los usaban como punta de lanza.
En todos estos análisis es necesario recordar la famosa frase popularizada por Carl Sagan: «afirmaciones extraordinarias requieren evidencia extraordinaria». Todos los problemas técnicos de Twitter y de TikTok que menciona Enrique son muy probablemente tal y como él los describe, pero que en el primer caso considere que se trata de irresponsabilidad y en el segundo de maldad no sé en qué medida se ajusta a la realidad.
En particular, el tema de la sinicización me parece muy poco fundamentado y me alegro que Enrique no lo haya mencionado en Forbes, pues solamente hubiera servido para alimentar los odios irracionales de ciertos sectores afines al actual gobierno norteamericano.
Coincido en un 100% y es el núcleo de mi afirmación
Una vez más, estoy 100% de acuerdo contigo, y eso es lo que intentaba transmitir
La frase no pertenece al gran Sagan, él solo la popularizó, pero en lo esencial, volvemos a estar de acuerdo
No puedo estar más de acuerdo en un todo contigo, y más que nada, con lo de no mencionarlo en Forbes, porque cuando todo esto pase (…y va a pasar…) y ambos bandos se estén lamiendo las heridas recibidas, algunos comentarios sin fundamentos se usarán para señalar a quienes los dijeron y no nos olvidemos que Google, Bing, Duck Duck Go, etc no olvidan. Nada más.
Gracias por tu respuesta Mauricio
Buenos días,
(Irony on) Si, hace tiempo que vengo dándome cuenta que Enrique está financiado por la CIA, eso del blog gratuito e independiente olía mal y la tapadera esa de profesor del IE ya no se la cree nadie. Y bueno, el Partido Comunista Chino es muy democrático y plural, lo que pasa que hay mucha envidia con su éxito, como en Hong Kong que no quieren tanta Libertad de golpe. “ (Irony of)
Tik Tok no se puede comparar con ninguna red social americana, cualquier CEO en USA puede enfrentarse al gobierno en los tribunales, como de hecho ha hecho Tim Cook, trata de hacer lo mismo en China, a ver que tal…
Enrique, después de leer las entradas y los enlaces, en mi opinión tanto cuando habla de Twitter como cuando habla de Tilk Tok, se limita a divulgar objetivamente lo que hay.
Un cordial saludo.
Gratuito, independiente y SIN PUBLICIDAD. Con lo que me ingresan la CIA, Soros y la Fundación Bill y Melinda Gates para promover las vacunas con microchips que nos monitorizan tenngo suficiente como para vivir holgadamente. Eso sí… si supiera en qué diablos de cuentas me lo ingresan!!! ;-)
¡A mi nadie me roba las contraseñas!
«A perro flaco todo son pulgas».
Un youtuber tiene un canal donde muestra las estafas y les trolea. Imprescindible su WATCHING THE SCAMMERS PARTS 1-4, con Panorama de la BBC, dedicándoles un programa.
Jamas he sido capaz de hacer un aplicación cien por cien segura y he trabajado para bancos,
Un informático, solo puede garantizar que el producto que ha hecho, ha pasado con éxito un panel de pruebas de x casos diferentes, pero nunca tiene la seguridad de qué pasará en la prueba x+1. (con frecuencia ni siquiera es capaz de imaginarla).
El producto más probado que se produce, por supuesto mucho mas probado que Twitter,. son los programas de los vuelos espaciales y cometieron un error cambiar un «-» por un «+» y lanzaron al espacio un telescopio miope ,
Después de la espacial, lo mas probado es la aviónica, Vete a preguntar a Boing lo que les pasó con los MAX
A mi que hackeen a Twitter, me parece una anormalidad dentro de lo normal. No hicieron la prueba X+1, aunque quizá X fueron 10.000 pruebas diferentes..
Afirmar por este caso, que Twiter tiene «inaceptables prácticas de seguridad», me parece lógico, si viene de alguien sin mucha idea de lo que es la realidad de la informática. Son las mismas personas que creen que los informáticos somos grandes matemáticos, o que podemos crear una inteligencia artificial sin sesgos y que si las creamos con sesgos, es que somos unos fascistas que odiamos a los negros.
Gorki, últimamente te ha dado por leer en diagonal y no enterarte de lo que he escrito. Ahora, lee la entrada de nuevo, y después, ponte de cara a la pared durante quince minutos. Vamos a ver: eso que dices de que no se puede hacer una aplicación cien por cien segura YA LO HE DICHO YO. Está claro. Evidente. Obvio. Y lo he escrito, además, concretamente donde digo «que todo es susceptible de ser hackeado es una verdad incuestionable», y en varios sitios más.
Ahora bien: que no se pueda impedir que te hackeen NO QUIERE DECIR que cuando alguien te hackee, se va a encontrar con la posibilidad de controla todas las cuentas de tus usuarios, de twittear por ellos lo que les salga del higo, o de acceder a tus contraseñas. Por mucho que te puedan hackear, que podrán, eso no quiere decir que si te hackean, puedan encontrarse con que tienes herramientas que permiten hacer esas cosas. Porque, me repito con respecto a la entrada, por buena o mala que sea tu aplicación, NUNCA, JAMÁS Y BAJO NINGÚN CONCEPTO debería contener herramientas que permitan (ni a un hacker, ni a un empleado, ni a Jack Dorsey, ni a la bendita madre de Jack Dorsey) twittear por un usuario. Pueden permitir eliminar un tweet o cerrar una cuenta, pero jamás twittear como si fueras el propietario de la misma. JAMÁS. Del mismo modo que NUNCA, JAMÁS Y BAJO NINGÚN CONCEPTO, por mucho que hackeen y que entren hasta la puñetera cocina, pueden encontrarse un fichero del que extraer contraseñas, porque tienen que estar tan fuertemente cifradas, que ni la propia Twitter pueda acceder a ellas. Y eso, amigo mío, es de primero de seguridad, y no tiene que ver, como tú dices, con que sea imposible construir una aplicación cien por cien segura, aseveración con la que estoy completamente de acuerdo. Pero una cosa es que puedan entrar, y otra que si entran se vayan a encontrar, como ha sido el caso, la puñetera llave maestra de todo colgando detrás de la puerta.
Un motivo para que este tipo de herramientas masivas tengan tantos fallos de seguridad (aparte de que al ser masivas atraen la atención de los hackers) es el que el diseño del producto está únicamente orientado a facilitar su adopción.
Repito. No adopción masiva y buena seguridad, sino adopción masiva como principal propósito.
Con eso en mente la seguridad se dejará siempre para cuando se pueda, o sea nunca o cuando salte algún escándalo.
Creo que eso es consustancial a este tipo de herramientas.
NUNCA, JAMÁS Y BAJO NINGÚN CONCEPTO debería contener herramientas que permitan (ni a un hacker, ni a un empleado, ni a Jack Dorsey, ni a la bendita madre de Jack Dorsey) twittear por un usuario
Desde luego, si yo trabajara como informático en Twitter y conociera a fondo la aplicación, sin necesidad tener las claves
de un usuario, encontraría, no una, sino varias formas sencillas de emitir twits «firmados»· por quien fuera sin mucho esfuerzo.
No se trata de simular que soy él usuario, sino de «colar» en el proceso un twit que parece que lo ha escrito el usuario, una vez pasados pasado todos los controles de password .
Desde fuera, no sabría hacerlo, porque nunca me he preparado para cacker, solo para programar y mantener aplicaciones.
Por tanto desconozco la dificultad que tiene introducir fraudulentamente en el repositorio donde se guarden los twits, registros adicionales con twits fake.
Y de ello se enterarían los responsables cuando comiencen a llegar protestas de los usuarios. Es decir, primero los usuarios tiene que observar que alguien ha escrito algo en su nombre que ellos no han escrito, Algo difícil cuando eres famosos y tiene varios «negros» llamados Community Manager que te escriben los twits·y segundo cuando avisado del problema, reaccionas, buscas lo que ha pasado y descubres cuales son los registros «piratas» y los borras.
Desde luego la cosa no consiste es dar un botón y que se borren esos registros y salga un email de disculpa a los usuarios afectados, eso solo pasa en las películas, la realidad es algo mas compleja..
«Desde luego, si yo trabajara como informático en Twitter y conociera a fondo la aplicación, sin necesidad tener las claves
de un usuario, encontraría, no una, sino varias formas sencillas de emitir twits «firmados»· por quien fuera sin mucho esfuerzo.»
En empresas como Twitter (o Amazon, Microsoft, Facebook, Google, Netflix, etc.) que se supone que diseñan y aplican DevSecOps correctamente eso no es posible, cualquier cambio en el código o en los procesos conlleva no solo revisiones automatizadas sino revisiones por otra persona, con la que te tendrías que compinchar. Si no fuera así, Netflix podría empezar a recomendar porno, o Amazon enviarte un pedido de pepinos en lugar de yogures…
Otra cosa es en la informática que tú has conocido, que es la que se sigue practicando hoy en día en casi todas las empresas, y en la que la gestión de autenticación/autorización/encriptación/mínimo privilegio/custodia de credenciales, etc, etc, deja mucho que desear, y en la cualquier becario puede hacerse con la contraseña del CEO si nadie le supervisa el código que mete en el entorno de producción.
Incluso la banca, con sus pin de 4 dígitos y sus claves de firma de 8 caracteres, si se compinchan los operadores del call center a lo largo del tiempo, se pueden hacer con las 8 posiciones de la clave de firma de cada NIF. En una sola llamada un solo operador se podía hacer hasta con 4 posiciones con dos operaciones que le pidieras. Menos mal que han metido (obligados) el SMS y la app como segundo o tercer factor de autenticación.
No le pongas la misma cerradura a todas tus habitaciones. Así de simple.
Como programadora que ha desarrollado aplicaciones con la API de Twitter hace años, puedo afirmar que en aquel entonces no se necesitaban las credenciales sino un token de usuario para poder realizar acciones por él. Una vez tenías ese token daba igual que el usuario cambiase las credenciales, seguías teniendo acceso efectivo a no ser que se eliminase el acceso a la aplicación de la tercera parte, reseteando el token.
Sobre que el sistema pueda twittear en nombre del usuario diré que eso es normal en la implementación de los tweets planificados, esos que se publican automáticamente a cierta hora. Esa funcionalidad existe desde hace años en «Twitter for business» que es una funcionalidad de la propia casa. Lo raro es que esto no haya pasado antes.
Que griton, éste troleo bien podría ser propio de una cuenta falsa. ¿Cómo sabemos que el autor es quien dice ser?
Hoy me lo tomo con mucha calma, que para algo soy usuario del facebook (relativamente contento), pero no del piopio (me la suda).
Tal vez en Twitter no cumplen la ISO 27001 :)
O a lo mejor no les interesa cumplirla.
O les ha dicho alguien que no la cumplan. Porque esto ha ocurrido por la existencia de puertas traseras ¿no?
Pronto hará dos años que dejé Twitter y diez que me largué de Facebook y oye, el mundo siguió ahí y siguió girando. Siguió amaneciendo cada día y hasta me enteraba de las cosas prácticamente igual que antes. Los únicos perros que oigo ahora son los del vecino, pero sólo cuando llega el amo a casa. Una maravilla.
Fue muchísimo más duro lo de dejar el tabaco, aunque algunos no se lo crean, y hace veinte años pude hacerlo.
Y si todos los que os cabreáis como monas porque os están puteando y reventando constantemente hicierais lo mismo, en siete u ocho meses podríais volver tranquilamente a vuestros productos después de que éstos hubieran sido limpiados bien a fondo (como el valor de las acciones del memo).
Ello no obstante, no volveré al tabaco. Ni a lo otro.
Ayer se cayó en España durante casi 10 horas un hosting (no el mío, pero cercano, aunque uno de los míos también se cayó 2 horas, vaya día…) y en la cuenta de Twitter publicaron al cabo de un par de horas que era un problema con los servidores de correo y que estaba solucionado, solo que los correos tardarían en desatascarse. En la web no decían nada. La gente les indicó por Twitter que no, y que también las webs estaban caídas… El teléfono de atención al cliente no era atendido por saturación. La cuenta de Instagram (que es lo único que lee mucha gente) no indicaba nada. El correo que enviaron a los clientes comunicando la incidencia llegó a las 12 de la noche, pasadas 10 horas desde el inicio de la incidencia, y cuando ya estaba solucionada, supongo que porque usan sus propios servidores de correo para enviar sus correos que comunican incidencias…
En fin, que puede haber fallos técnicos y humanos, disculpables o imperdonables, pero la gestión de crisis siempre tiene mucho que mejorar.
Espero con impaciencia los informes post-mortem de Twitter y del proveedor de más arriba, y ver qué nivel de transparencia ofrecen como empresas y qué medidas adoptan para que no vuelva a suceder. A mí me fascinan los informes post-mortem de GitHub y Microsoft, que son los que más he leído y de los que se aprende mucho.