Este mes de marzo se acaban de cumplir los primeros cinco años de vida de Twitter y, curiosamente, es cuando se ha activado la opción de utilizar, de forma predeterminada, el protocolo HTTPS en sus comunicaciones y así cifrar el tráfico y evitar ataques como los que usaba Firesheep (http://www.hacktimes.com/jugando_con_firesheep) y el robo de sesiones.

Twitter, debido a su gran popularidad y uso (más de 50 millones de usuarios), se ha convertido en uno de los puntos más importantes para expandir malware e intentar cualquier tipo de fraude online contra sus usuarios. Entre las amenazas más frecuentes destacan:

- SPAM: es importante recordar que las páginas de las que uno se hace seguidor pueden utilizar los datos para enviar SPAM. Aunque twitter ha conseguido recientemente reducir notablemente el SPAM, a veces aún se cuela algún que otro mensaje proveniente de alguna cuenta sospechosa y nada mejor que reportarlo a la cuenta @spam. En caso de recibir algún mensaje con contenido dudoso pues como siempre es recomendable aplicar sentido común y no abrir ningún enlace que contenga y analizar al remitente. Habitualmente, suelen ser cuentas de reciente creación, con un nombre de usuario sin sentido y con caracteres aleatorios, con pocos seguidores pero, en cambio, con muchos "followings" o usuarios que son leídos por él.

- Phishing: los ataques de phishing son muy comunes y twitter no es una excepción. No es la primera vez que se clona la página de autenticación para acceder al perfil de twitter y se consigue robar múltiples credenciales de usuario. La página de inicio de sesión de twitter siempre es https://twitter.com/login, remarcar el uso de HTTPS.

Además, twitter notifica por correo electrónico cualquier cambio en la cuenta, nuevos seguidores, mensajes de usuarios a los que se sigue, etc. Se suele incluir un enlace al perfil del nuevo seguidor y este es uno de los ataques de phishing más típico, simular ese correo y la página de inicio de sesión de twitter.

- Acortadores de URLs: debido al límite de 140 caracteres disponibles para publicar en cada "tweet" o mensaje, se empezó a utilizar los acortadores de URL para ahorrar espacio y así poder expresar con más detalle el mensaje en cuestión. Esta solución imposibilita ver la URL real y comprobar lo confiable que es el sitio web comentado o el archivo al cual se intenta acceder.

Los analizadores de URLs (TweetDeck y Tweetie) para comprobar qué dirección real se esconde detrás de una acortada son cada vez más necesarios.

- Información sensible y/o ingeniería social: es importante destacar la información que se cuelga en forma de mensajes. Es sorprendente la cantidad de datos que se pueden obtener con una simple búsqueda de los "tweets" de un usuario determinado o buscando, incluso, mediante palabras clave directamente en la página de twitter. Se puede conseguir información sobre proyectos, proveedores que están prestando servicio en algún cliente, estado de informes, etc.

Aplicando Open Source Intelligence (OSINT) para la adquisición, tratamiento y posterior transformación en inteligencia de todos los datos obtenidos a partir de los comentarios vertidos en twitter, es posible conseguir resultados sorprendentes.

A continuación, tras una simple búsqueda en twitter, se encuentra a un consultor que está trabajando en el "Centre de Telecomunicacions i Tecnologies de la Informació (CTTI)" de la Generalitat de Catalunya, auditando el sistema SAP. Mirando el "tweet" y luego aplicando OSINT se obtiene que en el CTTI disponen de SAP, que lo están auditando, que han contratado a una empresa consultora X, que el técnico que lo está auditando es...

 Fig 1. Cuenta de Twitter encontrada buscando la palabra CTTI

Fig 2. Perfil de Linkedin del consultor autor de los tweets

También es importante comentar la veracidad de los comentarios o "tweets", se pueden encontrar toda clase de rumores y comentarios falsos con el objetivo de crear pánico o incidir en algún punto destacable para obtener un beneficio (rumores sobre la bolsa, encuestas falsas, etc.).

Para buscar en google los "tweets" de un usuario determinado: site:twitter.com/hacktimes

También es conveniente controlar quién puede leer los "tweets" que se publican, es decir, la privacidad de los mismos. Existe una opción (pestaña "cuenta" del menú de Configuración) que define qué personas se quiere que lean esos mensajes, normalmente los seguidores. Si no se protegen los comentarios, éstos son públicos y cualquiera puede leerlos, reenviarlos (retweet), etc.

Otro problema grave es la tendencia a acumular seguidores de forma indiscriminada como si de ello dependiera el éxito de una cuenta o no, tal y como sucedió en el 2009 con el sitio llamado TwitterCut que prometía aumentar los seguidores si se le proporcionaba el nombre de usuario y la contraseña de la cuenta de twitter. Al final el resultado fue el robo de miles de cuentas de usuarios, propagar el enésimo gusano (worm) e, incluso, promover un ataque por phishing.

Además, es recomendable desactivar la opción de geolocalización ya que sirve para revelar información privada de amigos, compañeros, etc.

- Botnets: los bots y las redes de bots son un problema generalizado en Internet y twitter no iba a ser menos. Existen multitud de robots que se sirven de la red de twitter para controlar a los equipos infectados (zombis). Básicamente, lo que se hace es enviar nuevos enlaces a través de la actualización de mensajes de estado que contienen comandos y/o ejecutables que se descargan y ejecutan automáticamente. El bot suele servirse de los "Feeds RSS" para obtener las actualizaciones de estado.

El atacante o botmaster, únicamente, debe indicar el nombre de usuario de twitter que enviará las instrucciones a los equipos zombis infectados en la botnet y así podrá controlar dichos sistemas a través de los comentarios o "tweets" que escriba en su perfil de twitter.

Más información:

Twwwtdeck y tweetie son clientes de twitter que posibilitan a los usuarios ver sus perfiles, sus "tweets", conversaciones, etc y, entre sus funciones, permiten ver las URLs acortadas para comprobar su origen y veracidad.

http://www.tweetdeck.com

http://www.tweetie.com

https://addons.mozilla.org/en-US/firefox/addon/longurl-mobile-expander

http://en.wikipedia.org/wiki/Open_source_intelligence

http://es.wikipedia.org/wiki/Botnet

Video explicativo del uso de una botnet en twitter creado por la gente de ESET:

http://www.youtube.com/watch?v=EoATrwF4DdM&feature=player_embedded#at=92