¿Utilizas Twitter con frecuencia y alguna vez te has descubierto siguiendo a alguna cuenta sin saberlo? Si es así, puedes ser víctima de una aplicación maliciosa. Algunos atacantes utilizan este método para hacerse con el control remoto de tu usuario y manejarlo como ellos gusten: desde forzándote a seguir a gente que no conoces o hasta publicando tweets en tu nombre.
¿Te resulta familiar esto? Si alguna vez te has encontrado con un tweet firmado por ti que, por supuesto, tú no has escrito, lo más probable es que seas una víctima de estas aplicaciones. ¿Sabías que hay otros ganando dinero a tu costa? A continuación repasamos cómo funciona este proceso, qué puedes hacer para protegerte y cómo nos han atacado a nosotros, @genbeta, haciendo algo similar.
¿Cómo consiguen acceso a tu usuario?
"Tu cuenta de Twitter vale XXX dólares". "Con esta aplicación puedes espiar WhatsApp". "Adivina quién te ha dejado de seguir". Seguro que estás cansado de ver este tipo de tweets ¿verdad? Son mensajes automáticos que se publican cuando un usuario utiliza una aplicación y le da permiso para publicar en su nombre. Y, la mayoría, son timos en su versión 2.0.
Twitter permite a los desarrolladores acceder a la información de un usuario si éste les da permiso. Así, por ejemplo, puedes twittear desde tu cuenta en otros clientes para móviles o puedes comentar en Genbeta utilizando tus credenciales. El problema es que algunas aplicaciones maliciosas utilizan este proceso para conseguir el acceso a tu usuario y controlarlo remotamente. Cuando una aplicación quiere utilizar tu cuenta, te aparece un mensaje similar al siguiente:
Esta aplicación te está pidiendo permisos para acceder a tu cuenta
¿Por qué son falsos los ejemplos anteriores? Porque nadie te va a pagar 72 dólares por tu usuario de Twitter y porque lo de WhatsApp es uno de los bulos más frecuentes. Siempre, a la hora de utilizar una aplicación, desconfía por naturaleza. Lee bien los permisos que ésta solicita y, en el caso de que veas alguno que no sea necesario, simplemente no la utilices. La clave está en leer bien lo que te piden antes de aceptar los términos. Te ahorrará disgustos.
¿Para qué quieren tu cuenta?
"¿Para qué quieren mi cuenta si no soy nadie importante y tengo pocos seguidores?", te puedes preguntar. Existen varias respuestas. Una de ellas parece clara: para twittear mensajes y hacer que lleguen a tus contactos. De esta forma, consiguen que la aplicación maliciosa se vaya extendiendo. Tu cuenta actúa simplemente de altavoz.
Sin embargo, otro uso bastante preocupante que le dan los dueños de estas apps maliciosas es el de vender tu cuenta o, más exactamente, venderte como seguidor. Que algunas empresas se dedican a vender seguidores no es ningún secreto, y llevan existiendo años. Hasta ahora lo habitual es que crearan cuentas falsas para tal efecto, pero ¿para qué molestarse si en su lugar puedes hacerlo con cuentas reales?
La compra de seguidores, como decimos, no es algo de ahora, pero Twitter se ha ido poniendo las pilas durante años para detectar la creación de redes de bots. ¿Cómo hacer que estos servicios pasen desapercibidos para todos, incluyendo la propia red social? Utilizando usuarios reales, algo que todavía les da más valor. ¿Por qué? Porque un usuario real puede interactuar con el que compra su "follow" y porque, además, son más difíciles de detectar. Twitter no puede borrar sus cuentas a la ligera, ya que son cuentas que existen en la realidad.
¿Y por qué no vender también retweets y favs? ¿O "me gusta" en Facebook? Hay empresas que también ofrecen estos servicios. Realmente una vez se tiene el acceso al usuario en cuestión se le puede sacar mucho más partido. Por eso, como decimos, es vital desconfiar antes de aceptar los permisos que nos piden algunas aplicaciones.
Obviamente, estas prácticas no están permitidas en sus términos de uso de Twitter. El problema es que parecen estar tan extendidas que no dan a basto: puedes reportar un uso abusivo, pero buena suerte si quieres que tomen medidas y te respondan.
¡Ayuda! ¿Qué hago si publican tweets en mi usuario?
¿Ya es demasiado tarde y no dejan de aparecer mensajes en tu cuenta que tú no has publicado? No te preocupes: todavía puedes arreglarlo. En la parte superior derecha de tu perfil en Twitter, vete a Configuración y ayuda >> Configuración. Acto seguido, a la izquierda, selecciona el apartado Aplicaciones. Ahí tan sólo deberían aparecer aplicaciones en las que confíes. Si hay alguna que no conoces o de la que sospechas, selecciona "Revocar acceso".
En "Aplicaciones", deja sólo las aplicaciones de confianza (por ejemplo, las oficiales)
@genbeta, bajo ataque
Además de gente interesada el incrementar su número de seguidores, estos ejércitos de cuentas reales controladas remotamente también sirven para atacar a otros usuarios. El objetivo en estos casos es acabar con la reputación de alguien. Imaginemos que se descubre que un medio/artista/personalidad compra seguidores falsos. ¿Cómo afectaría esto a su reputación? Es más, ¿qué evita que Twitter le banee la cuenta por incumplir las normas, ya que a fin de cuentas su número de seguidores se está viendo inflado artificialmente?
De este tipo de ataque hablamos ya en el pasado y ese mismo artículo sirvió de excusa para que alguien con acceso a un gran número de cuentas fijara su objetivo en @genbeta. Después de amenazarnos, nuestros seguidores se incrementaron de 103.000 a más de 150.000 en cuestión de horas.
De 103.000 a 156.000 seguidores en unas horas
¿Cómo lo hicieron? Después de hablar con varios afectados, el origen parece estar en una aplicación que dice al usuario cuánto vale, supuestamente, su cuenta de Twitter. Dicha aplicación te obliga a dar permisos de publicar tweets (la gente con la que contactamos aseguraba que habían visto tweets raros en su línea temporal esos días) y también a seguir a gente.
Nuestro "atacante" en cuestión posee una página web a través de la cual vende seguidores. Por 10 euros tienes 1.000 seguidores. Ambas cifras se van incrementando hasta llegar a 150.000 seguidores a un coste de 1.000 euros. No sólo eso, sino que al controlar de forma remota muchas cuentas sin que sus dueños lo sepan, también vende otros recursos como retweets (13 euros el pack básico de 1.000) e interacciones (1.500 retweets más 1.500 favoritos al día durante un mes por 100 euros).
Nuestro "atacante" gana dinero vendiendo "follows" de cuentas como la tuya
En dicha web, nuestro "amigo" también vende otras acciones en redes sociales: "me gusta" de Facebook, seguidores y likes en Instagram, visitas y suscriptores de YouTube y hasta seguidores de Google+.
La débil (o más bien nula) reacción de Twitter
Contactar con Twitter para avisarles de la situación no fue nada sencillo. Y, a día de hoy, ha demostrado ser bastante poco efectivo: sí que han eliminado de nuestros seguidores a algunas de las cuentas afectadas, pero muchas todavía siguen ahí. Algunas de ellas incluso nos insultan y se preguntan cómo es que hemos aparecido en sus perfiles. La respuesta, me temo, está bien explicada en estas mismas líneas.
A día de hoy, seguimos esperando una respuesta oficial por parte de Twitter. No sólo a nuestra solicitud inicial, de la que dijeron que se harían cargo y poco han hecho al respecto, sino a nuestras solicitudes posteriores de información preguntando cómo iba el caso. Desde Genbeta, adicionalmente, nos volvimos a poner en contacto con ellos por si querían realizar alguna aclaración o comentario sobre este artículo. De momento no se han pronunciado.
Si algo nos ha demostrado el ataque que hemos sufrido es que los usuarios tienen que comenzar a ser conscientes del peligro de dar permisos a otros para acceder a sus cuentas, pero Twitter tampoco está libre de culpa. No sólo es muy difícil denunciar este tipo de prácticas sino que también parecen poner muy poco de su parte para solucionarlo. ¿Por qué no implantar mejores medidas de seguridad? ¿Por qué no controlar más las aplicaciones?
En Genbeta | Ataque de seguidores falsos, ¿nueva forma de terminar con la reputación (y la cuenta) de alguien?
Ver 9 comentarios