En los últimos días hemos podido ver cómo un delincuente ha conseguido hacerse con el control de varias cuentas institucionales en Twitter, siendo la última entidad afectada el Ayuntamiento de Jerez, tal y como indicó su Alcaldesa

No ha sido el único

La primera cuenta hackeada fue la del Ayuntamiento de Pamplona, que empezó a publicar insultos y amenazas de muerte contra el alcalde de la ciudad, Enrique Maya, de Navarra Suma, principios de agosto.

Cuenta modificada del Ayuntamiento de Pamplona

Podemos ver el cambio de la imagen del perfil con unas manos entregándose dinero, además de expresiones relativas a una supuesta corrupción. Aunque este perfil aparece como @PamplonaIruna_ (con un guión añadido) este cambio fue realizado tras conseguir el control de la cuenta, siendo además una actuación que también se ha realizado con otros ayuntamientos.

Uno de los mensajes fue el siguiente:

Para los manifestantes, activistas, periodistas y TODA aquella gente que lucha diariamente para este país, que sepa que falta poco y juntos lograremos que estos HIJOS DE PUTA CORRUPTOS dejen de gobernar este país, y que ESPAÑA sea un gran país en donde cualquier persona tenga acceso en algo tan básico como el poder comer»

Tuit realizado en la cuenta de Twitter del Ayuntamiento de Pamplona

Otro afectado fue el Ayuntamiento de Albacete, que finalmente consiguió recuperar su cuenta

Aún podemos encontrar capturas de los tuits emitidos desde la cuenta del Ayuntamiento de Albacete mientras permaneció bajo control del delincuente, y podemos encontrar elementos comunes con el resto de ayuntamientos afectados

Tuits realizados tras obtener el control de la cuenta del Ayuntamiento de Albacete

Además, al igual que sucedió en otros casos, desde el perfil se dirigieron amenazas contra su alcalde, Vicente Casañ, de Ciudadanos

Amenazas contra el Alcalde de Albacete

Otros ayuntamientos afectados han sido el de Valencia, Jaén, Palma, Berga (Barcelona) y Arona (Santa Cruz de Tenerife).

¿Cómo han podido acceder a dichas cuentas?

No se ha hecho pública mucha información al respecto, pero en el último caso del Ayuntamiento de Jerez podemos encontrar lo siguiente en el artículo de La Voz del Sur:

La persona —o las personas— que publicaron las amenazas se hizo con el control tras enviar un email al departamento de informática del Consistorio, que facilitó un número de teléfono creyendo que así se iba a verificar la cuenta, un sistema de la red social que permite verificar la autenticidad de los perfiles de interés público mediante una insignia azul que aparece junto al nombre de usuario.

Por lo tanto, parece ser que el principal método ha sido el engaño a los responsables:

  • El usuario ha obtenido acceso a la cuenta a través de ingeniería social. Al igual que sucede con otras estafas, se hizo pasar por un representante de la red social para obtener la colaboración del departamento del Consistorio. Esto muestra que faltan protocolos adecuados para la gestión de canales tan sensibles como son los correspondientes a las redes sociales pertenecientes a entes del sector público.
  • El modus operandi en todos los casos es muy similar, con lo que es posible que se trate del mismo sujeto o del mismo grupo. Así podemos observar como se produce un cambio de la cuenta añadiendo un guión, para después proceder a la modificación y emisión de los mensajes. En algunos casos se recuperó inicialmente la cuenta, pero el delincuente había registrado bajo otro usuario el nombre de cuenta original sin el guión, lo que retardó la recuperación total del control.

¿Por qué es tan grave?

Todo robo de una cuenta en una red social tiene una serie de consecuencias para su titular, pero la gravedad es mayor en un ente del sector público, en particular a causa de la percepción que tendrá el ciudadano y el daño que podría llegar a provocarse

  • En este caso se ha mostrado rápidamente a través de la modificación del perfil y la emisión de los mensajes, pero podría haber utilizado dicha cuenta de forma maliciosa para aprovecharse de la imagen del ayuntamiento.
  • Los ciudadanos percibirán muy negativamente la pérdida del control de la cuenta en la red social, lo que puede reducir su confianza en el uso de otros medios electrónicos que pongan a su disposición, aunque las medidas de seguridad en estos sean en la práctica correctos.

¿Cómo evitar que este tipo de ataques tengan éxito?

El mayor problema, al igual que sucedía con el caso de los bloqueos, es que las redes sociales en que participan ayuntamientos no reciben el mismo trato que otros canales o mecanismos electrónicos, viéndose como un canal de comunicación sencillo y que puede gestionarse al igual que una cuenta del sector privado, cuando nada más lejos de la realidad.

Es cierto que son un canal muy valioso, y que permite ofrecer información a los ciudadanos de forma rápida y a través de sus dispositivos favoritos, pero debemos tener en cuenta además las especialidades fruto de la naturaleza de su titular.

Las Redes Sociales abren nuevas posibilidades de comunicación

En primer lugar, debemos recordar los consejos más básicos en la gestión de redes sociales:

  • Activar la identificación de dos factores
  • No reutilizar contraseñas
  • Si se utilizan aplicaciones para gestionar las redes sociales controlar asimismo el acceso a las mismas, y los permisos de los grupos que participen en dicha gestión

Además, es importante que el protocolo de respuesta ante incidencias de seguridad tenga contemplado qué hacer en este tipo de supuestos, con tal de responder y actuar de manera inmediata ante la detección de una usurpación del perfil en una red social.

No basta con saber de comunicación para gestionar este tipo de perfiles en redes sociales, sino que debe darse importancia tanto a la seguridad en la gestión de la cuenta, como a las especificidades fruto de la naturaleza de la entidad a la que representan.

Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.