Desde el mes de marzo, con el comienzo de la crisis por el COVID 19, millones de personas comenzaron a trabajar desde sus casas, aumentando considerablemente el consumo de contenidos a través de las pantallas de celulares y computadoras, así como también el tiempo que pasamos en redes sociales. Estos nuevos hábitos potenciaron viejas formas trampas informáticas, como las aplicaciones para descubrir supuestos rasgos secretos de nuestra personalidad o revelar quiénes son "nuestros fans" en Twitter. LA NACIÓN habló con especialistas y descubrió los riesgos de apps populares como MyTopFans y Affinitweet, que pueden engañarnos para tomar control de nuestra cuenta.
Las aplicaciones de terceros son desarrollos independientes y externos a Twitter pero que utilizan su plataforma de Twitter. Cuando conectamos una app de este tipo con nuestra cuenta, se nos solicita permisos con los que puede obtener acceso a nuestros tuits, conocer a quiénes seguimos, publicar tuits o ver nuestra dirección de correo electrónico.
En los últimos meses se volvieron populares desarrollos como MyTopFans, que promete "revelar la identidad de tus fans y su nivel de interés en ti", tal como indica en su perfil en la tienda Google Play, por ejemplo, en donde suma millones de descargas. Una vez instalada en nuestro teléfono, al abrirla hay que aceptar sus términos y condiciones de uso. De acuerdo con Denise Giusto Bilic, especialista en seguridad Informática de ESET, los riesgos comienzan desde el momento en que no leemos con detenimiento este texto: "Como toda app que recopila información hay que mirar en detalle qué estamos aceptando. En el caso de que no tengamos certeza de la confiabilidad del desarrollador o del servidor donde se alojan los datos, lo mejor es no usarla".
"Leyendo las condiciones de uso de MyTopFans, por ejemplo, descubrí que hay un apartado que consigna que pueden cambiar las condiciones de servicio sin necesidad de que el usuario dé su conformidad explícita. Dicho en otras palabras, el día de mañana pueden usar tu cuenta o tus datos para otros fines y no tienen la obligación de decírtelo", reveló esta especialista cordobesa, quien también detalló que las bases explicitan que la legalidad del contrato atiende las leyes de Italia, así que si tenés un problema tenés que contratar servicios de justicia de ese país.
Si aceptamos estos términos y condiciones de uso, MyTopFans solicita acceder a nuestra cuenta de Twitter y una vez allí nos pide ciertos permisos, como poder seguir o dejar de seguir cuentas a su antojo o publicar tuits, lo que volvería vulnerable nuestra cuenta y podría convertirnos en parte involuntaria de una botnet.
"En general conocemos las botnet como una forma de malware, redes de computadoras infectadas que responden a un comando central que coordina acciones maliciosas. En este caso, nos referimos a redes fraudulentas que intentan ganar acceso a cuentas legítimas de usuarios para que, desde esas cuentas, poder seguir a otros y vender el servicio a terceros. La idea es, por ejemplo, ofrecer una cierta cantidad de followers verdaderos por un monto de dinero. Por supuesto que no todos estos servicios funcionan de este modo pero digamos que los problemas cuando comienza cuando damos permiso para tuitear por nosotros", puntualizó Giusto Bilic.
Lo mismo sucede con otra de las aplicaciones populares, Affinitweet, una web que ofrece distintas opciones lúdicas, desde descubrir a nuestro "San Valentín" enamorado hasta contabilizar nuestros emojis más utilizados, pero que tuvo un pico de popularidad en abril al prometer revelar nuestro "crush secreto", aquella persona que supuestamente nos ama pero que no quiere decírnoslo.
Aunque no es una app sino que funciona desde la web, Affinitweet también solicita permisos de nuestra cuenta de Twitter, entre los que se cuentan seguir o dejar seguir cuentas, publicar y borrar tuits. De nuevo, la investigadora sugiere cautela: "Pide demasiados permisos y uno debe preguntarse si tienen sentido o no. Así como permitir que tuitee por nosotros facilitaría vender el servicio de crear tendencias o promocionar links sin nuestro conocimiento, dejar que pueda seguir cuentas abre la puerta para que venda el 'servicio de following a terceros'. Al darle la facultad de tuitear por nosotros, estamos entregando algo muy valioso".
LA NACIÓN se comunicó con Twitter para conocer cómo se puede fortalecer nuestra cuenta y blindarla frente a posibles vulnerabilidades. La compañía aclaró que en el caso de aplicaciones de terceros, Twitter no está a cargo de su manejo o administración y que los usuarios deben ser precavidos a la hora de otorgar permisos.
"Twitter recomienda que solo se autoricen apps de terceros usando el método OAuth de Twitter. Es decir, método de conexión seguro que no requiere entregar el nombre de usuario y contraseña de Twitter a otros. Además, se debe revisar periódicamente cuáles son estas apps", aseguraron en la empresa.
En ese sentido, siempre es un buen momento para conocer qué apps de terceros tienen acceso en este momento. "Los permisos se pueden revocar en cualquier momento. Para hacerlo se debe iniciar sesión desde la cuenta y acceder a Aplicaciones y Sesiones, donde se muestran todas las apps conectadas a dicha cuenta y el tipo de permiso que se les dio. Desde allí, se debe dar click al botón Revocar el acceso, e idealmente cambiar la contraseña para mayor seguridad", indicaron.
Giusto Bilic, por su parte, completa explicando que "siempre hay que leer con mucho cuidado las políticas de privacidad buscando cláusulas, pensando qué control queremos ceder de nuestra cuenta. Podemos ver otras aplicaciones de ese desarrollador, ver esos comentarios, ver si han sido vinculados a ataques o movimientos fraudulentos, por ejemplo. Si bien la decisión de usar o no una cuenta es absolutamente personal, es relevante contar con toda la información a la hora de hacerlo o no, porque en ocasiones se está cediendo mucho control sobre los propios datos y que no se puede saber qué está haciendo con ellos".
Las personas que realmente quieran conocer a sus fanáticos o admiradores secretos, pueden buscar alternativas similares a estas apps pero más transparentes, como por ejemplo Chirpy, una creación del programador Simone Masiero, que visualiza aquellas cuentas con las que más socializamos. A diferencia de las otras apps mencionadas, aquí no hace falta entregar ningún permiso ni loggearse, sino que utiliza información pública y su código está abierto para que cualquiera pueda modificarlo a voluntad.
