El sevillano que pudo 'hackear' tu Twitter (y no lo hizo)

Por: | 21 de septiembre de 2010

Twitterhack-460

El pantallazo que aparece sobre estas líneas y el vídeo que está bajo ellas han recorrido medio mundo. Los ha difundido Sophos, una de las grandes empresas de seguridad informática, para explicar qué ha ocurrido este mediodía con Twitter, cuando ha sufrido el problema más grave de su corta historia. Ilustra con un ejemplo "benigno" la vulnerabilidad que ha contagiado a modo de pandemia a unos 200.000 usuarios, que en pocas horas han visto cómo sus perfiles se llenaban de cuadraditos, letras o eran redirigidos a otras páginas web. El ejemplo de la imagen tan sólo decía "hola".

Una palabra tan española como el chiste sobre el Hormiguero que aparecía líneas antes o el nombre del dueño de la cuenta fotografiada, @carlospf, al que se ve retuiteando el código de ese famoso "hola" creado por su amigo @rafavargas. Ambos, veinteñeros, sevillanos y compañeros de trabajo en demartina.com, explican qué pintan en medio del huracán mediático que se ha formado alrededor del fallo de Twitter.

"Alguien hizo un twitter de colores, y pensé que igual que se podía hacer eso, se podía hacer un código ejecutable", cuenta Rafael. Escribió el twitt (le salió a la segunda, algo antes de la una de la tarde) y su compañero Carlos lo retuiteó. De ahí a que el experto de Sophos Graham Cluley lo encontrara y difundiera sólo había un paso.

El twitter de colores al que se refiere el joven sevillano es la cuenta de Twitter llamada "Rainbow Twtr", abierta por el desarrollador japonés Masto Kinuga y que utilizaba una vulnerabilidad (XSS) que él mismo había descubierto. El enlace del arcoiris -ya desactivado- empezó a correr como la pólvora. Y como suele ocurrir, en varios lugares del mundo a varias personas se les ocurrió la misma idea. Más o menos a la misma hora Rafael Vargas en Sevilla y un adolescente llamado Pearce en Melbourne ya habían encontrado la forma de aprovechar el descubrimiento del japonés para 'hackear' twitter en lugar de con colores, con acciones. Pronto llegaron gusanos malignos como el que redirigía a una página porno japonesa.

Aunque Twitter pronto desactivó el peligro, durante unas horas, cualquiera con ciertos conocimientos técnicos pudo hacer todo tipo de maldades con la red social. "Podía haber hecho otra cosa perfectamente pero sólo quería hacer una prueba de concepto", explica. De hecho, se le ocurrió extender una broma interna de su facultad -estudia Ingeniería Informática en la Universidad de Sevilla- que consiste en aprovechar los descuidos ajenos para ubicar en sus escritorios una foto de David Hasselhoff. Rafael prefirió ser bueno, pero podríamos estar hablando perfectamente en estos momentos del virus Hasselhoff de Twitter.

Sorprende comprobar lo simple que era aprovechar la vulnerabilidad de una de las redes sociales más populares de internet. "Era bastante sencillo, cualquiera que haya hecho programación web podría hacerlo. No hacían falta grandes conocimientos técnicos", explica Rafael. 

Más allá de lo gracioso que ha resultado ver a Sarah Brown (mujer del ex primer ministro británico Gordon Brown) incitar a su millón de seguidores a visitar porno oriental, los virus "malignos" eran relativamente inocuos y para muchos usuarios el problema ha pasado desapercibido. Bien porque usaban un cliente de escritorio, porque utilizaban la nueva versión web de Twitter, porque estaban comiendo (coincidía con esa hora en España), porque estaban durmiendo (en Estados Unidos era aún de noche) o directamente, porque no sabían qué demonios es eso de Twitter, que a pesar de su influencia y crecimiento exponencial, mantiene un número de usuarios bajo en comparación con otras redes.

Carlos, el compañero de trabajo de Rafael cuenta que gracias a sus minutos de fama ha ganado unos pocos followers, ha recibido varios mensajes, un desconocido le ha acusado de querer meterse en sus cuentas y que el experto de Sophos le ha pedido perdón por su pequeño momento de fama mundial. Algo que ni a él ni a Rafael les ha importado lo más mínimo. Cosas de estar en medio del Trending Topic del momento.

Hay 23 Comentarios

Es posible que no tenga sentido del humor; no es ni bueno ni malo, hay gente que lo tiene, hay gente que no. Es posible que no "haya entendido nada", no lo discuto. Digo lo que opino, como cualquiera que aquí escribe. Y es posible que no me entere de nada; quizá haya que hacer un master para enterarse de ello. No es mi intención responder a cosas personales; simplemente trasladé la impresión de algunos ( no solo yo) que usamos este medio pretendiendo no tener que ocuparnos de cosas como que nos metan un virus, aunque sea por ayudar.
Gracias por la aclaración joah. No lo sabía y me alegro de que me lo hayas explicado. Un saludo cordial.
ElHobbit: "vulgarmente" es con "v".

la gente que critica a este chaval sevillano, se ve claramente que sois simples usuarios, no se necesita ser "hacker" para llegar a hacer lo que ha hecho el sevillano, con basicos conocimientos de programacion web se podría haber hecho eso y muchisimo mas, dejad de meteros con él, pues solo ha avisado de un bug, en ningun momento se ha aprobechado de el, no digo que le deis las gracias pero pensad que muchos podriais estar sin el twiter

Ramón, me estoy descojonando. Porque es de coña ¿no? ¡Serñor Internet! ¡Despida a esos despiadados! XD

Deberían ir todos a la cárcel. Al menos, Internet debería despedir a los responsables o dejarles sin sueldo.

@alena.collar No eres ni idiota ni ingenua. Simplemente no conoces ni comprendes este mundillo. Y tu rabieta no tiene razón... o como se dice bulgarmente... has meado fuera de tiesto.
Este joven sevillano lo que ha hecho es hacer público un agüjero de seguridad que si hubiera seguido abierto y desconocido quizá alguien con mala leche podría haber aprovechado para robar cosas más serias como datos personales, cuentas bancarias, etc...

Vamos que este chaval ha hecho un favor a mucha gente, ya que gracias a su actuación el problema se resolverá más pronto.

Y @Pedro por tu comentario lo mismo... tampoco lo has entendido...

@Alena, la mejor filosofía para actuar con los bugs de seguridad es siempre hacerlo público cuanto antes. Si el ataque es muy delicado y difícil de explotar es mejor reportarlo a la empresa dar un tiempo hasta que lo resuelvan y después hacerlo público.

En este caso era un descuido fácil de resolver y muy sencillo de explotar, han actuado de forma correcta.

No sé si descontarles las horas, o darles una comisión por las ventas :)

es muy complicado este tema...

@Alena.collar

Por si no te has dado cuenta, y se ve que no, este tipo no ha hecho nada malo. Como da la impresión de que no has entendido muy bien esto, imagino que no sabes que cuando se encuentra una vulnerabilidad lo que se suele hacer es hacerla publica de forma inocua, para que la empresa lo solucione cuanto antes.

Pero vamos, igualmente si llevas una revista de literatura y tienes ese humor y talante, deseo que no se muestre en sus letras. Si no, mal vas.

Salud, y tómate un dulce,

Claro, yo puedo salir a la calle a comprar cosas o a tramitar documentos, pero también puedo estrangular ancianos para sacarles la billetera del bolsillo. Parece como si cometer delitos en internet fuera una opción tolerable moralmente y aparte tuviera impunidad garantizada.

Los comentarios de esta entrada están cerrados.

Trending Topics

Sobre el blog

Este blog va de lo que se está hablando, los temas calientes, lo que estás buscando en la red. En Trending Topics rastreamos la información que te interesa y te la servimos en bandeja.

Archivo

marzo 2012

Lun. Mar. Mie. Jue. Vie. Sáb. Dom.
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

El País

EDICIONES EL PAIS, S.L. - Miguel Yuste 40 – 28037 – Madrid [España] | Aviso Legal