La información económica de los líderes

Ciberseguridad

Los ‘community’ de los ayuntamientos se quedan sin vacaciones

Las cuentas de Twitter de los consistorios de Albacete, Pamplona y València han sido hackeadas esta semana y los autores amenazan con seguir con los ciberataques

Archivado en: 

Las cuentas de Twitter de los ayuntamientos de València, Albacete y Pamplona han sido hackeadas en los últimos días "por corrupción". | E3

“Pronto caerán todos”. Es la amenaza que han recibido los ayuntamientos españoles del grupo de hackers (o del individuo, ya que se desconoce la autoría) que esta semana han secuestrado las cuentas de Twitter de los consistorios de València, Pamplona y Albacete firmando el ciberataque bajo el alias, ‘Corrupción’.

En València, el robo del perfil de Twitter del Ayuntamiento se produjo el lunes. “Solo pusieron un tuit”, señalan fuentes del ente local quienes aseguran que “tuvo poco impacto” el ataque y que tras contactar con la red social consiguieron recuperar la cuenta.

Ésta estuvo bajo el control de los piratas durante tres horas. A las 15.35 horas publicaban en la red: “Esta cuenta ha sido hackeada por Corrupción”, con lo que anunciaban la apropiación ilícita del perfil y el siguiente tuit era del consistorio para indicar que recuperaban la cuenta. El ataque cibernético ha sido denunciado a la Guardia Civil, como señalan desde el Ayuntamiento, quienes trabajan para identificar al hacker o grupo de ellos.


Los hackers llegaron a amenazar a los alcaldes de Pamplona y Albacete


Más duros fueron los ataques este martes a las cuentas de Twitter de los ayuntamientos de Pamplona y Albacete, donde los piratas llegaron a amenazar a los alcaldes de ambos consistorios. Es en el perfil del municipio navarro donde los piratas informáticos advirtieron que que seguirían con los ataques a otras administraciones locales.

Señalan desde la Policía Nacional de Valencia que este tipo de actos “no es habitual” y que resulta más común el ataque a usuarios. “Es algo muy nuevo lo que ha sucedido con el Ayuntamiento de València”, indican y apuntan que las investigaciones para identificar a los atacantes se realizan siguiendo el rastro dejado en el IP, con lo que dependiendo de la habilidad del hacker se puede complicar el encontrarlo.

La ‘ciberpereza’ puede pasarnos factura

Con años de experiencia formando community manager en la administración local, Mayte Vañó considera que el problema está más en los usuarios que en el sistema. “No se tiene el cuidado que se debe tener con temas tan sencillos como las contraseñas. Ni siquiera se siguen los mínimos consejos de Twitter de cambiar la clave cada seis meses y poner la autentificación de dos pasos”.

Preguntada por la situación general, Vañó es crítica en dos aspectos. El primero es que “muchas de las personas que acaban gestionando las redes no son profesionales. Hay una falta de profesionalización. En segundo lugar, se pone una contraseña y no se cambia o la acaba sabiendo todo el mundo”. Y añade, “y no nos debe extrañar que la contraseña sea tan obvia como el nombre del propio municipio o similar. Es fácil averiguarla y para un bot, aún más”. La clave final radica en la prevención, según esta especialista.

¿Cómo nos atacan los hackers?

En la misma línea se sitúan los expertos en ciberseguridad, José Rosell, socio-director de S2 Grupo y Matias Daniel Adés, ingeniero en Sistemas de Información de Alfatec. “En la generalidad de los casos los ciberdelincuentes se aprovechan de los descuidos de los usuarios, consecuencia de una falta de concienciación en ciberseguridad”, expone Adés.

Señala que entre las formas habituales de llevar a cabo ataques a nuestras redes sociales se encuentran las trampas de phishing y el aprovechamiento de mecanismos de autenticación pobres (como contraseñas débiles). En este sentido, explica Rosell que “las contraseñas sencillas se rompen con herramientas de ataque por fuerza bruta”, es decir, probando todas las combinaciones posibles. “Si la contraseña es solo con letras minúsculas o con cifras, es fácil que un ordenador con una capacidad de computo razonable pueda romperla”, asegura el director de S2 Grupo quien apunta que existen herramientas para ello al alcance de cualquiera en Internet.

Para el caso de los ayuntamientos, indica Rosell que es difícil defenderse si te conviertes en un objetivo. “Los ayuntamientos pueden tener sus medidas de seguridad puestas, el problema es que la lucha es asimétrica. Tenemos mucha superficie que defender y ellos pueden atacar por muchos sitios”, expone y añade que en estos casos lo importante es detectar el ataque lo antes posible “como ha sucedido en estos casos” y “responder de forma organizada, tanto desde el punto de vista de la comunicación como desde el punto de vista técnico”.

Por su parte, Adés señala que en caso de ciberataque sobre nuestras redes “lo recomendable es contactar con el proveedor de la red social” y que “es importante que las organizaciones cuya información sea crítica, cuenten con un Sistema de Gestión de Seguridad de la Información para actuar acorde a cualquier incidencia en ciberseguridad, reduciendo al máximo posible los riesgos”.

Por último, señala el ingeniero de Alfatec una serie de recomendaciones para evitar ser víctimas de ataques en las redes sociales:

  • Reconozcamos y evitemos las trampas de Phishing.
  • Evitemos las contraseñas débiles, por defecto y no utilicemos la misma para dos o más aplicaciones distintas.
  • Usemos más de una forma de autenticación (por si nos roban la contraseña).
  • Controlemos el acceso a la aplicación de la red social por aplicaciones de terceros.
  • Asegurémonos de que la dirección de email asociada a nuestra cuenta de redes sociales sea segura.
  • Usemos la verificación de inicio de sesión.
  • Configuremos la cuenta para que sea obligatorio proporcionar una dirección de correo electrónico o un móvil para poder solicitar un vínculo o código de restablecimiento de la contraseña.
  • Tengamos cuidado con los vínculos sospechosos y asegurémonos siempre de estar, por ejemplo, en la web que corresponde antes de ingresar la información de inicio de sesión.
  • No revelemos nombres de usuario y contraseñas a terceros, en particular a los que prometen conseguirnos seguidores, hacernos ganar dinero o verificar nuestra cuenta.
  • Asegurémonos de que el software de nuestro equipo, incluido navegador, esté al día con las últimas actualizaciones y software antivirus.
Suscríbete a nuestra newsletter