El CEO de Hootsuite habla sobre lo que aprendió al ser hackeado en las redes sociales

«Hola, soy nuestro equipo minero, solo estamos poniendo a prueba su seguridad, envíenos un mensaje».

A principios de este verano, ese mensaje llegó a mis seguidores en Twitter, solo que no lo envié. Me habían hackeado.

Fue embarazoso. Dirijo Hootsuite, una empresa de gestión de redes sociales que se enorgullece de ofrecer una seguridad de primera clase para nuestros clientes. ¿Cómo pudo suceder esto? ¿Qué hice mal?

En los días siguientes, me enteré de que Ev Williams, cofundador de Twitter, había víctima caída a los mismos hackers. Y poco antes, las cuentas de Twitter y Pinterest de Mark Zuckerberg estaban comprometidos. Así que no fui el único que podría haber sido más proactivo en materia de seguridad.

Aun así, no debería haber ocurrido nunca. Tras hacer una autopsia para ver qué salió mal en mi caso, aprendí algunas lecciones básicas de seguridad que espero ayuden a otros ejecutivos y profesionales a mantener sus propias cuentas a salvo de los hackeos.

Tenga cuidado con la puerta lateral. Mi hackeo no tuvo nada que ver con que Twitter o Hootsuite (que utilizo para gestionar mi cuenta de Twitter) se vieran comprometidos. Los hackers que irrumpieron en mi cuenta de hecho entraron a través de una aplicación completamente diferente que hacía años que no utilizaba. En algún momento, permití que Foursquare accediera a mi cuenta de Twitter (esto se conoce como «autenticación de aplicaciones»). Más tarde, se informó de que Foursquare fue hackeado y algunas cuentas estaban comprometidas. Mi equipo de TI confirmó que los hackers usaron esa información para entrar en mi Twitter.

Hoy en día, la autenticación de aplicaciones es aún más común. La mayoría de las plataformas sociales tienen varios puntos de acceso a través de los servicios de socios; piense en cuántas aplicaciones, desde Airbnb hasta WordPress, se integran en Facebook, por ejemplo. Así que el primer paso para proteger sus redes sociales es eliminar las aplicaciones que ya no se utilizan, normalmente a través del panel de configuración de la red. En el caso de Twitter, por ejemplo, puede ver una lista de todos los servicios que ha autorizado en la pestaña aplicaciones de la página de configuración y, a continuación, elimine las que ya no estén en uso. El segundo paso es saber qué plataformas han sido violadas recientemente o en el pasado. Un recurso útil es el sitio¿Me han empeñado?, lo que le permitirá buscar en varias filtraciones de datos para averiguar si su información de usuario, en particular, se ha visto comprometida.

Cambie sus contraseñas. La gente está harta de oír esto, pero las contraseñas seguras (con muchos números y símbolos aleatorios) de hecho marcan una enorme diferencia a la hora de mantener sus cuentas seguras. Si no puede pensar en el suyo propio, servicios comoÚltimo pase, que generan y gestionan contraseñas aleatorias, puede ayudar. Los hackers que accedieron a las cuentas de Zuckerberg evidentemente se aprovechó de su contraseña excepcionalmente débil: «papá». Peor aún, había utilizado exactamente la misma contraseña para varias plataformas diferentes y puede que no lo haya cambiado durante años.

Compartir no es preocuparse. Ni siquiera una contraseña segura ayudará si la comparte. Muchos directores ejecutivos (incluido yo) reciben ayuda del personal con sus redes sociales. Una inclinación natural es compartir su información de inicio de sesión, pero una forma más segura de conceder el acceso es usar herramientas de seguridad en las redes sociales que le permiten autorizar a otros usuarios sin tener que divulgar su contraseña real. De esa forma, sus credenciales comienzan y terminan con usted y puede determinar el origen de cualquier violación de seguridad. (Un básico auditoría de redes sociales puede revelar qué tan lejos y ancho se ha extendido su contraseña.)

Centro Insight

• El futuro de la ciberseguridad

  Patrocinado por KPMG

  Explorar los riesgos y las soluciones.

Dos factores es una obviedad. Tras mi incidente de hackeo, hice algo que debería haber hecho hace mucho tiempo: habilité autenticación de dos factores en mi cuenta de Twitter. Probablemente se le haya pedido que haga esto en varias plataformas… y haya ignorado la opción. Pero vale la pena el pequeño dolor de cabeza adicional. En lugar de simplemente introducir una contraseña, se le pedirá que introduzca un código especial que se enviará a su teléfono al iniciar sesión desde una nueva ubicación o dispositivo. Tarda unos segundos más, pero lo hace es más difícil hackear su cuenta.

Tenga cuidado con el clic. Ya todos sabemos que no debemos responder a esos correos electrónicos de príncipes nigerianos . Sin embargo, las estafas de suplantación de identidad más recientes, en las que las personas intentan engañarlo para que divulgue información confidencial haciéndose pasar por una empresa o una persona acreditada, pueden ser difíciles de detectar y es fácil ser víctima de ellas. La suplantación de identidad es un 150% más este año en las redes sociales, así que evite hacer clic en los enlaces de usuarios desconocidos o sospechosos. Las cuentas de servicio de atención al cliente falsas son una táctica común, al igual que las cuentas diseñadas para que parezcan amigos o seguidores. Regla general básica: no divulgue los nombres de usuario y las contraseñas a menos que esté absolutamente seguro de la autenticidad del sitio. Lamentablemente, esto ocurre todo el tiempo, especialmente cuando las comunicaciones parecen provenir de un banco, una empresa de tarjetas de crédito u otro servicio que utilice y en el que confíe.

Tener a alguien (o algo) al mando. Mis hackers atacaron tarde un sábado por la noche, lo que probablemente no fue casualidad. Esperaban que pasaran horas antes de que descubriera el tuit falso o tiempo suficiente para que mis seguidores hicieran clic en él. Para los ejecutivos, que no siempre pueden estar monitoreando sus redes sociales, tener el plan correcto establecido porque este tipo de casos es fundamental. Para empezar, asegúrese de que alguien monitorea su feed. Fuera del horario laboral, esto se puede complementar con herramientas de monitorización que detectan picos inesperados de actividad o registrar un aumento en las menciones negativas. También es fundamental tener un gráfico de «cadena de mando» en el que se indique quién puede intervenir en su nombre si no está disponible, así como un conjunto de respuestas preaprobadas. Hacer un «simulacro de crisis» por adelantado es una excelente manera de asegurarse de que cuenta con el protocolo adecuado para detectar una infracción y responder a ella.

Cuando lo hackean, el tiempo apremia. Que te hackeen ya es bastante malo. Pero que lo hackeen y no respondan con rapidez empeora la situación de manera exponencial. Para empezar, sus colegas y seguidores están ahí haciendo clic en actualizaciones falsas de su parte, comprometiendo la confianza que ha creado con ellos. Además, los hackers solo se sentirán envalentonados por su indiferencia para tomar medidas más agresivas. En mi caso, pudimos borrar inmediatamente el tuit infractor, como primer paso fundamental, y también cambié mi contraseña de Twitter. Sin embargo, en este caso, los piratas informáticos estaban accediendo a mi cuenta a través de un servicio completamente diferente. Al revocar el acceso a aplicaciones de terceros, pude detener la infracción. Luego cambié las contraseñas de esas aplicaciones externas, negando a los piratas informáticos su punto de entrada y descubriendo la raíz del problema. Todo esto ocurrió en unos minutos, así que lo que podría haber sido un desastre fue, en cambio, un importante servicio de despertador.

En última instancia, ninguna cuenta o servidor es totalmente a prueba de hackeos, como las recientes infracciones de alto perfil del Comité Nacional Demócrata y Agencia Mundial Antidopaje han mostrado. Sin embargo, algunas medidas de sentido común pueden contribuir en gran medida a proteger a los ejecutivos en las redes sociales. Al fin y al cabo, las redes sociales son el lugar donde están sus clientes, colegas y empleados. Quedarse al margen realmente no es una opción. La clave es sumergirse, con las protecciones adecuadas.

Nota del editor: Esta publicación se ha actualizado para reflejar que, aunque hubo informes de que Foursquare estaba comprometido, no se confirmaron oficialmente.