(CNNMoney) – El mismo hacker que entró a 500 cuentas de miembros del grupo terrorista ISIS en Twitter tiene una recomendación para el presidente Donald Trump: que cambie sus configuraciones de Twitter tan pronto sea posible.
De acuerdo con una persona que se identifica a sí misma como WauchulaGhost, el presidente, el vicepresidente y la primera dama son especialmente vulnerables a los hackers debido a una configuración de seguridad básica para Twitter que no están usando.
WauchulaGhost se comunicó este sábado conmigo para hablar de esos problemas. Pasé los últimos tres días tratando de comunicarme con la Casa Blanca para que comentara sobre la versión de WauchulaGhost. Envié varios correos electrónicos, entre ellos, varios directamente a Dan Scavino, el encargado de las redes sociales de Donald Trump.
La noche del lunes, WauchulaGhost llevó las cosas más lejos, publicando en Twitter los correos electrónicos asociados con las cuentas, acompañados del mensaje “cambien sus correos electrónicos y arreglen sus configuraciones”.
En junio pasado, WauchulaGhost acaparó los titulares cuando hackeó las cuentas de simpatizantes de ISIS y reemplazó su contenido con pornografía y mensajes de orgullo gay. Indicó que no tiene interés en hackear al presidente, pero que sus configuraciones de seguridad lo dejan vulnerable ante otros hackers.
Según WauchulaGhost, las cuentas @POTUS, @FLOTUS y @VP son más vulnerables porque no han seleccionado una característica básica de seguridad de Twitter que requiere que el usuario verifique su identidad ingresando un número de teléfono o correo electrónico. La actual configuración de seguridad para esas tres cuentas permite que cualquiera haga click en la opción de “clave olvidada” y escriba @FLOTUS, @POTUS o @VP. La siguiente pantalla dice “encontramos la siguiente información relacionada con su cuenta” y presenta un correo electrónico incompleto al cual enviará un enlace para recuperar la clave.
WauchulaGhost dice que completar la dirección de correo electrónico y deducir la dirección del correo de alguien es el primer paso que los hackers toman cuando tratan de entrar en una cuenta.
“No es difícil para nosotros el determinar ese correo”, dijo a CNNTech en un mensaje en Twitter. “Me he apoderado de 500 cuentas del Estado Islámico”.
WauchulaGhost dijo que encontró el correo más probable que pudiera estar asociado con la cuenta de Melania Trump en apenas 20 minutos. Agregó que el correo asociado con la cuenta del vicepresidente, Mike Pence, fue fácil de deducir tan pronto vio la versión incompleta, vi***************@gmail.com. WauchulaGhost determinó que era vicepresident2017@gmail.com. Desde entonces el correo del presidente y el de la primera dama permanecen sin cambios. Y además, la cuenta del vicepresidente, en Twitter, no tiene aún dicho mecanismo de seguridad extra.
CNNTech trató de comunicarse varias veces con la Casa Blanca y Scavino para alertarlos sobre la falta de seguridad en las cuentas. Pero hasta la mañana del martes no se había recibido respuesta alguna.
Una cuenta de Twitter insegura
De acuerdo con WauchulaGhost, una vez que se tiene la dirección de correo electrónico de una cuenta de Twitter, el siguiente paso es obtener acceso a ese correo. Las tácticas comunes incluyen malware, aplicaciones que adivinan varias claves a la vez o usar información acerca de una persona para obtener la clave.
“Todo lo que tengo que hacer es adivinar el correo. Lo que he hecho bastante bien”, dijo WauchulaGhost a CNNTech por medio de Twitter. “Luego se verifica si existe el correo. En ese momento tomas la cuenta, reseteas la clave de Twitter y ¡bang!… Yo controlo al presidente. No digo que lo vaya a hacer.. ja ja. Pero es muy fácil para algunos”.
Sin embargo, es algo más complicado que eso. Un representante de Twitter dijo que la empresa no comenta sobre cuentas individuales, pero señaló que la Agencia de Comunicaciones de la Casa Blanca maneja los protocolos de las cuentas de la residencia, las que, de acuerdo con Twitter, requieren una autenticación superior a la verificación con correo electrónico o número telefónico. Y ese nivel de autenticación basta para hacer difícil que un hacker asuma el control de sus cuentas de Twitter.
Pero de acuerdo con un exasesor de alto nivel del Departamento de Estado, Chris Bronk, la ausencia de este nivel de seguridad en las cuentas de la Casa Blanca deja abiertas varias puertas peligrosas.
“¿Esta una vulnerabilidad grave? Probablemente no. Pero es enseñar tus cartas. Cada fragmento de evidencia que pueda obtener (un hacker) para determinar tu perfil puede ser usado en una campaña de ataque”, dijo Bronk.
E incluso una violación temporal puede tener consecuencias al largo plazo.
“Estas son cuentas que pueden afectar la seguridad nacional de Estados Unidos en este momento o los resultados del Dow Jones”, agregó.