Hace unos días la cuenta de Twitter de uno de los principales partidos políticos de nuestro país, nos sorprendía con un tweet bastante crítico hacía ellos mismos. La primera impresión que tuvimos todos los que dedicamos más tiempo que la media a esto de las redes sociales, fué que alguien había metido la pata y había publicado un tweet cuando pretendía enviar un mensaje privado, o bien que se había publicado en la cuenta equivocada. Por desgracia, entre los que manejamos varias cuentas, es bastante común este tipo de errores.
Independientemente de la gestión de “la crisis” de los responsables de esa cuenta, gestión que les llevo a protagonizar un irónico hashtag nacional, este tipo de errores siempre me hacen reflexionar, reflexión que, casi siempre sirve para encontrar algún nuevo truco o estratégia que refuerce la seguridad de las cuentas que gestiono. En esta reflexión me vino a la cabeza algo que, cuanto más lo pensaba, aun pareciéndome imposible, más seguro estaba de que si lo comprobaba iba a ser cierto.
Por fin hoy he tenido tiempo de comprobar que, sorprendentemente, lo que se me había ocurrido era cierto.
Las disculpas ofrecidas por la metedura de pata del tweet al que nos referimos al inicio de este artículo me resultaron, a mi y la mayoría, muy difíciles de creer. Yo, en todas mis cuentas, uso un patrón de contraseña compuesta por, al menos, 11 caracteres que incluyen números, símbolos y letras, combinando a demás estas últimas en mayúscula y minúscula, veo bastante difícil que alguien, descartando Anonymous, salte una de esas contraseñas, como veo bastante difícil, que la contraseña de una cuenta tan sensible como a la que aquí nos referimos, no tenga patrones similares a las que yo uso, pero… ¿y si el supuesto hacker no tiene necesidad de la contraseña para poder tuitear con dicha cuenta?
Mi cuenta personal de twitter la manejo exclusivamente yo. Imagino que a todos nos sucede lo mismo. Sin embargo también manejo cuentas de terceros. Las empresas, figuras públicas, marcas comerciales, partidos políticos etc etc tiene a uno o varios responsables de manejar dichas cuentas y por tanto, como es lógico, tienen acceso a ellas. Si estas al frente de una empresa y decides cambiar a la persona que lleva tus cuentas en redes sociales, es más que probable que quieras evitar que dicha persona siga teniendo acceso a esa cuenta. ¿Qué harías para ello?. Es evidente. Cambiar la contraseña de la cuenta, pues NO ES SUFICIENTE.
Imagino que la inmensa mayoría de los que usáis twitter manejáis una sola cuenta y usais el cliente por defecto de Twitter, independientemente de la plataforma, la página web o la aplicación para smartphone o tablet. Sin embargo, esa herramienta no es nada eficiente para los que manejamos multiples cuentas, es por ello que, habitualmente, usamos otro tipo de clientes de twitter que nos ofrecen más ventajas, como por ejemplo el manejo simultaneo de varias cuentas. Cómo es lógico cuando queremos añadir una nueva cuenta a dicho cliente para gestionarla desde su plataforma, nos pide el usuario y contraseña de esa cuenta, sin embargo, una vez que, introducidos correctamente esos datos, nuestro twitter autoriza el uso de dicha aplicación, ya nunca más nos vuelve a pedir autenticación. AUNQUE CAMBIEMOS LA CONTRASEÑA EN TWITTER. Si la persona que manejaba la cuenta de tu empresa la tenía progamada en una de estos clientes podrá seguir accediendo a ella, y tuiteando con la cuenta de la empresa independientemente de que hayas cambiado la contraseña. ¿No sería ese el famoso “hacker”?
Una vez que hemos descubierto que el cambio de contraseña no es suficiente toca pensar como asegurar que esto no suceda, a mi personalmente no se me ocurre otra cosa que, desde la página de aplicaciones de twitter, retirar los permisos a todas aquellas que sean sospechosas de ser usadas para enviar mensajes en nuestro nombre. De esta forma cuando nosotros, o cualquiera, vuelva a querer usar dicha aplicación con nuestra cuenta twitter se nos volverá a pedir autorización y para ellos nuesra contraseña, que ahora sí, no será accesible para nuestro ex-community manager.
Aunque no lo he comprobado, estoy seguro que este lapsus de seguridad es común en todas aquellas cuentas que permitan clientes de terceros, no sólo twitter, probablemente también suceda en Facebook. Así que amigos, si alguna vez alguien ha tenido acceso a vuestras cuentas, ya sabéis…, no esperéis a tomar medidas cuando una desafortunado tweet diga lo que no queréis decir.
