Enlaces accesibilidad

Twitter sufre un ataque masivo por un fallo de seguridad

  • La red social se ha llenado de mensajes de código
  • El fallo ha afectado a miles de usuarios

Por
El mensaje malicioso se ha propagado entre miles y miles de usuarios de la red social
El mensaje malicioso se ha propagado entre miles y miles de usuarios de la red social

Un agujero de seguridad en Twitter ha desatado el caos en la red de 'microblogging'. Sus más de 145 millones de usuarios se han visto expuestos a un 'gusano' que se ha extendido a gran velocidad entre los mensajes de estado de los 'tuiteros'.

El ataque ha producido problemas a los usuarios para acceder a la red social, redirigiéndolos a otros sitios web o replicando de forma automática un mensaje de código de este estilo en su 'status':

#";onmouseover=javascript:<Código Javascript>;"/

El fallo permitía crear un mensaje 'pop up' que salta y se replica al pasar el ratón por encima. También ha llenado los muros de los usuarios de colores o letras gigantes, por lo que se le ha llegado a denominar el 'gusano arcoiris'.

El fallo ha afectado solo a los usuarios de la versión web y no a aquellos que utilizan algún cliente externo para actualizar su estado como TweetDeck o Echofon.

Tras varias horas sin pronunciarse acerca del problema, Twitter anunciaba que ha identificado el problema como un "ataque de XSS", que aprovecha agujeros de seguridad incrustando código HTML. Al cabo de unos minutos, la red social actualizaba su estado para informar de que fallo estaba resuelto completamente.

Bondades y peligros del JavaScript

Yago Jesús, experto en seguridad informática y miembro del blog Security by Default, explica a RTVE.es cuál ha sido el origen de este 'bug' que se basa en las posibilidades del lenguaje de programación JavaScript cuya inclusión en la web dotó al usuario de más "interactividad" y le daba "la posibilidad de introducir datos y en base a estos, construir aplicaciones con muchas mas posibilidades".

El experto informático añade que "prácticamente cualquier aplicación web que imaginemos hoy día funciona así, por ejemplo cualquier chat vía web en su visión mas simple es tan solo un usuario introduciendo datos y recibiendo respuestas".

El problema de seguridad llega porque "existe una alta probabilidad de que el usuario no solo introduzca los datos que esperamos, sino también datos maliciosos" y precisamente "de esto va el bug en Twitter".

Jesús explica que "Twitter espera que en el apartado de actualizaciones introduzcas cosas como 'Estoy tomando un cafe en Paris' pero claro, si alguien en vez de eso introduce secuencias de comandos JavaScript... Tienes un problema".

Hemos comprobado que con este fallo se podrían robar cuentas en Twitter

Y es que el lenguaje informático JavaScrip permite cambiar el comportamiento de una web. "En principio el gusano que se ha liberado tan solo 'mancha' el perfil del usuario con colores pero es técnicamente posible (lo hemos comprobado) construir un ataque que permita el robo de la sesión y por ende de la cuenta Twitter", afirma el experto.

La versión web, expuesta

El ataque no ha podido llegar en peor momento para la compañía, que hace unos días anunciaba un rediseño de su plataforma enfocado a 'retener' a sus usuarios durante más tiempo en la web.

Una gran parte de los internautas de esta red social utilizan clientes externos, no abren la web de Twitter, simplemente aterrizan en ella desde otras aplicaciones. 

Yago Jesús recuerda que no es la primera vez que Twitter experimenta un ataque de este tipo, que se siguen produciendo porque "no implementan correctamente filtros para impedir que se introduzcan datos maliciosos".