Las redes sociales y la suplantación de identidad web pueden empañar su marca y su capitalización de mercado.
En las últimas semanas, hemos visto ejemplos evidentes del daño que los malos actores han causado a la viabilidad financiera y la reputación del producto de una empresa debido a la confusión causada por la nueva propiedad y las políticas de Twitter.
La seguridad de las redes sociales acaba de convertirse en una prioridad principal no sólo para los CISO, sino también para los CMO, CFO y CEO. Como resultado, podemos esperar que desempeñe un papel más destacado en los ataques de malware, las infracciones de seguridad y los engaños de verificación de identidad.
Problemas de verificación de Twitter
Es posible que haya leído acerca de la cuenta de Twitter “verificada” de la compañía farmacéutica Eli Lilly and Co. que compartió un tweet que anunciaba: “Nos complace anunciar que la insulina ahora es gratis”.
¡Guau! ¿El verdadero Eli Lilly & Company anunció eso en Twitter? Bueno, no. De hecho, la cuenta que tuiteó tal mensaje resultó ser una cuenta impostora. Pero los seguidores de Twitter, los inversionistas, los medios y otros fueron engañados de inmediato. Pensaron que la compañía farmacéutica estaba cediendo a las demandas de los usuarios de bajar los precios de la insulina.
Cuando el verdadero Eli Lilly & Co. se enteró del tuit falso, respondió en su cuenta oficial: “Pedimos disculpas a quienes recibieron un mensaje engañoso de una cuenta falsa de Lilly. Nuestra cuenta oficial de Twitter es @LillyPad ”.
Engañados por sistemas inadecuados en su lugar
¿Por qué el tuit engañó a tanta gente? Según The Washington Post , el tuit tenía una marca de verificación azul “verificado”. Esta marca aseguraba que la cuenta de Twitter de una marca era legítima, según el sistema de verificación de Twitter que había estado vigente durante años.
Pero como resultado del cambio en la propiedad de Twitter a Elon Musk en las últimas semanas, el antiguo sistema de verificación se eliminó y se reemplazó por un nuevo sistema de verificación llamado Twitter Blue. Por una tarifa de 8 dólares al mes, los usuarios podían obtener la marca verificada mientras Musk intentaba generar nuevas fuentes de ingresos.
Pero la verificación de identidad real no ocupaba un lugar destacado en la lista de prioridades. Twitter no estaba verificando la identidad de quién pagó 8 dólares al mes por la nueva marca de verificación. Esto significaba que cualquiera podía comprar una marca de verificación “verificada”.
Así es como la marca de Twitter de Eli Lilly y otras fueron atacadas. Los estafadores crearon cuentas “verificadas falsas” para políticos, deportistas, celebridades y otras empresas mediante el pago de la tarifa de marca de verificación de 8 dólares mensuales. Desafortunadamente, el sistema defectuoso de verificación de identidad ya estaba causando grandes problemas, según Wired en el artículo “El Twitter de Elon Musk es un paraíso para los estafadores“.
Como resultado de la confusión temporal, el precio de las acciones de Eli Lilly se vio afectado, cayendo de 368 por acción a alrededor de 348 por acción (aunque desde entonces se ha recuperado). Pero el tuit falso también llamó la atención sobre el alto precio de la insulina de la compañía, creando un problema de relaciones públicas más significativo para Eli Lilly .
Los actores/bromistas de sombrero negro de Twitter encontraron una puerta abierta de par en par para el fraude de identidad y comenzaron a hacer un uso indebido del plan de marca verificada con fines nefastos. Este “ataque” de Twitter a la identidad ha llevado la gravedad del phishing y la verificación de identidad a la corriente principal.
Aquellos de nosotros en la industria de la seguridad y la inteligencia hemos estado hablando sobre el phishing de malos actores durante años, pero ahora se ha convertido en un problema mucho mayor. ¿Tomarán las empresas medidas más estrictas para establecer una mayor seguridad de verificación de identidad, especialmente en las redes sociales?
Fortalecimiento de la identidad en las redes sociales
Podrían venir más de estos ataques. Con la incertidumbre que se arremolina en torno a Twitter y sus instrucciones para los usuarios, los malos actores podrían percibir una jugada fácil para infligir un daño similar a otra marca importante. Y los mensajes falsos sobre los precios de los productos son sólo la punta del iceberg. Otros mensajes fraudulentos o estafas podrían crear una llamada a la acción, en la que los clientes o incluso los empleados son engañados para que compartan sus credenciales, lo que proporcionaría acceso a la puerta principal de la organización.
Ahora que hemos visto con qué facilidad se pueden atacar las marcas, parece inevitable que más de estas vulnerabilidades se conviertan en la norma. ¿Qué pasará en las próximas semanas con otras entidades importantes si este plan de verificación de Twitter Blue no está bien organizado?
Y más allá de Twitter Blue, las falsificaciones se pueden perpetrar en otros sitios de redes sociales y al configurar sitios web falsos con la misma apariencia que el original propiedad de la marca. ¿Cómo se aprovecharán estos?
El problema de Twitter Blue simplificó las falsificaciones para cualquier atacante básico, pero cualquier pirata informático con un mayor nivel de sofisticación puede aprovechar métodos más elaborados. ¿Cómo pueden las marcas y las empresas defender mejor todos estos canales?
Si bien se dice que el equipo de Twitter se está remodelando para que sea ‘sólido como una roca’, con planes para relanzar Twitter Blue, los CISO deben implementar medidas de seguridad para evitar el fraude antes de que los atacantes puedan dañar su marca, cambiar el precio de sus acciones y tal vez incluso encuentre una ruta para robar los datos de su organización.
Estas salvaguardas deben extenderse a través de las plataformas de redes sociales y la web. Esto no es solo un problema de Twitter, a pesar de la atención de los medios. Twitter ha aparecido en los titulares, pero es un problema mucho más amplio para la industria.
Rick Grinnell, CIO.com