22/10/2020 – 18:11 Actualizado: 22/10/2020 – 19:39
No se puede entender a Donald Trump y sus cuatro años en el gobierno sin su cuenta de Twitter. Este perfil en la red social del pajarito es una pieza fundamental de la historia política de estos cuatro años. En ella el todavía presidente de EEUU se desahoga, carga contra sus rivales y hasta anuncia acciones internacionales, pero ni sabiendo de la importancia de este pequeño espacio el propio Trump ha tomado grandes medidas para protegerlo. Un grupo de ‘hackers’ holandeses asegura que entró el pasado 16 de octubre en la cuenta sin despeinarse y hasta pudieron llegar a tuitear como si fuera el presidente.
Así lo publica este jueves el medio holandés VN que explica, hablando con uno de los autores de la acción, el ‘hacker’ ético Victor Gevers, cómo, con unos simples pasos, Gevers y otros dos amigos consiguieron entrar en el perfil y hasta pudieron lanzar un misterioso mensaje que dejase constancia de su acción. ¿Cómo lograron colarse en el perfil de Twitter más importante del mundo? Simplemente necesitaron el correo que usa Trump para acceder a su perfil y una contraseña bastante simple.
The Wall Street Journal
Como cuenta el propio Gevers, Trump solo tenía activa la barrera más básica que coloca la propia compañía del pajarito para evitar que nadie más entre en tu perfil. Ni siquiera contaba con la verificación en dos pasos, una opción recomendada por los expertos que ayuda a parar este tipo de ataques obligando a introducir un código que la plataforma envía a un teléfono móvil o similar con el objetivo de evitar justamente lo realizado por Gevers. El presidente no había activado ese método de defensa y ni siquiera ha borrado de momento el mensaje que dejaron los ‘hackers’ tras el paso por su perfil.
Twitter Shuts Down Entire Network To Slow Spread Of Negative Biden News https://t.co/JPmjOrKPcr via @TheBabylonBee Wow, this has never been done in history. This includes his really bad interview last night. Why is Twitter doing this. Bringing more attention to Sleepy Joe & Big T
— Donald J. Trump (@realDonaldTrump) October 16, 2020
La contraseña puesta por Trump tampoco era nada del otro mundo y simplemente unía el eslogan de su campaña ‘maga’ (Make America Great Again), el año 2020 y un signo de exclamación al final. El resultado es ‘maga2020!’. Es cierto que Gevers no da detalles de cómo consiguió averiguar dicha ‘password’, solo que estuvo probando con ideas sencillas hasta dar con ella al quinto intento, pero hace especial hincapié en la falta de una medida tan básica como la doble autentificación para un perfil tan importante. “Esto comenzó hace seis años. Y, con suerte, en 2020 será la última vez. Active la autenticación de dos factores en todas sus cuentas” ha tuiteado el investigador.
It started six years ago. And hopefully, it will be the last time in 2020. Please switch on two-factor authentication on all of your accounts. 🙏
— Victor Gevers (@0xDUDE) October 22, 2020
Twitter, por su parte, ha lanzado un comunicado asegurando que no ha podido corroborar lo asegurado por el experto y ha dejado claro que las cuentas como la de Trump cuentan con un refuerzo especial de cara a las elecciones. Sin embargo, como se explica en el post de Twitter, entre esas medidas de protección extra estaría el alentar, pero no exigir, a los usuarios verificados el uso de la verificación en dos pasos y reforzar la contraseña que se tenía anteriormente. Mientras, el equipo de Trump solo ha dicho que la historia de Gevers no es “absolutamente cierta”.
El recuerdo a hace 6 años no es casual, y es que no es la primera vez que Gevers y sus amigos se cuelan en el perfil de Trump, sino la segunda. Y en 4 años nada ha cambiado. Bueno, sí, solo la contraseña, pero ni siquiera se hizo porque hubieran recibido el aviso de estos expertos en ciberseguridad.
‘Yourefired’
El primer episodio ocurrió en 2016, cuando Gevers y sus amigos encontraron algunos detalles como direcciones de correo electrónico y contraseñas supuestamente de Donald Trump en bases de datos colgadas en internet de ciberataques como el que se perpetró contra LinkedIn o la página de citas AshleyMadison. Sin darle muchas vueltas empezaron a probar y descubrieron que podían acceder a la cuenta de Trump. La ‘password’, de nuevo’ era mucho más sencilla de lo que se esperaba: ‘yourefired’ (estás despedido).
Apenas hicieron más que demostrar que lo habían logrado. Salieron y reportaron el caso a los servicios de ciberseguridad de su país para que llegase a los de EEUU, pero no pasó nada. Ni siquiera cuatro años después habían aprendido la lección.
Esta vez, con más pruebas recabadas y dejando un rastro mayor, todo apuntaba a que volvería a quedarse en una anécdota, pero según cuentan en VN esta vez si consiguieron llegar hasta Trump y ahora la verificación en dos pasos está activada también para el perfil de Twitter más poderoso del planeta. Un caso con el que Gevers espera llamar la atención de la importancia de la ciberseguridad y, también, poner en el debate global el peso de las compañías tecnológicas. Porque a día de hoy un correo electrónico y una contraseña pueden generar una crisis global en segundos.