Buscar

2010/09/24

Twitter: el caos de los mil padres

Publico

Como en toda revuelta que se escapa de las manos, el origen del caos que colapsó Twitter el pasado lunes es difícil de localizar. Los principales involucrados aseguran que no pretendían sembrar el desconcierto que se vivió durante dos horas en la popular red de mensaje cortos, que cuenta con casi 150 millones de usuarios en todo el mundo y que durante ese tiempo mostró mensajes de colores, ventanas emergentes o reenvíos automáticos a páginas pornográficas.
La compañía de seguridad Panda Labs apuntaba el mismo lunes que el origen estaba en una cuenta de Twitter llamada Rainbow, creada por un programador japonés llamado Masato Kinugawa. Fue él quien descubrió que un fallo de seguridad en Twitter permitía no sólo escribir mensajes de texto hasta 140 caracteres sino también códigos que, en principio, sólo permitían que esos mensajes aparecieran en diferentes colores. No había maldad en su acción, dice Kinugawa, sólo probaba si podía hacerlo. La casualidad hizo el resto.
Un estudiante sevillano de ingeniería informática vio lo que Kinugawa había hecho y se preguntó qué ocurriría si en lugar de introducir un código que colorease los mensajes escribiese uno capaz de ejecutar acciones cuando los usuarios pasaban el ratón sobre él. "Cuando vi el tweet [forma de llamar a los mensajes en Twitter] pensé que era una nueva característica de Twitter. También probé a introducir un código y, aunque la primera vez no funcionó, la segunda vez sí", confiesa Rafael Vargas, de 23 años, a Público.

"¡Hola!"

El descubrimiento del fallo de seguridad, hasta ese momento, sólo tenía consecuencias inocuas. Cuando los contactos de Vargas en la red social recibieron el código de su mensaje observaron cómo, si se ponían sobre él con el ratón, aparecía una pequeña ventana en la que podía leerse un sencillo "hola!". Carlos Pérez Fernández, amigo de Vargas, envió a su vez ese mensaje a todos sus contactos. A partir de ese momento, comenzó la revolución.
Un analista de seguridad de la compañía Sophos colgó en su blog un análisis sobre el fallo de seguridad de Twitter. Las fotos con las que lo ilustraba incluían imágenes con los nombres de usuario en Twitter tanto de Vargas como de su compañero. "Parece que muchos usuarios están utilizando el fallo para divertirse y jugar, pero es evidente que existe la posibilidad de que los ciberdelincuentes redirijan a los usuarios a sitios web de terceros que contengan código malicioso, o que lo utilicen para mostrar mensajes publicitarios", se puede leer aún en la web de Sophos, que ya se ha disculpado por correo electrónico con Fernández por publicar su nombre y su fotografía.
Fue al ver esta página de la compañía de seguridad cuando Vargas comprendió que había sido uno de los primeros en utilizar el fallo de Twitter para enviar mensajes. "Lo único que hice fue realizar una prueba", explica. En ese punto, termina su contribución a la broma. No participó en el caos generalizado que vendría después, cuando otros usuarios comenzaron a introducir códigos que se reenviaban automáticamente a todos los contactos de los usuarios con sólo pasar el ratón por encima y conducían a páginas de contenido pornográfico. "Estoy orgulloso de lo que hice y tengo la conciencia tranquila porque sé que no he hecho nada malo", explica Vargas.

Ideas simultáneas

El joven australiano Pearce Delphin, de 17 años, tuvo la misma idea que Vargas. También introdujo código en los mensajes "para ver si se podía hacer", según ha detallado a la agencia AFP, y lo hizo de forma casi simultánea al español. "Sólo Twitter puede confirmar quién fue el primero", añade Vargas. El programador noruego Magnus Holm se muestra menos modesto identificándose como el responsable del primer mensaje que incluía un gusano [código que se replica a sí mismo]. "Sólo quería aprovechar el fallo sin hacer daño", ha justificado a la BBC.
También añade que el fallo fue identificado por muchos otros que copiaron y utilizaron el código con diferentes fines, como dirigir a los usuarios a páginas porno. En los primeros mensajes que Holm escribió en la red social no se mostraba muy orgulloso de su creación. Tras "este gusano no funciona", escribió: "Esto es aterrador. Creo que es exponencial".
Uno de los motivos por el que el error de seguridad de Twitter sufrió el efecto bola de nieve fue porque, como explican los expertos en seguridad, no era necesario tener grandes conocimientos de programación para utizarla con diferentes fines. "Bastaba con una formación básica en HTML y Javascript [lenguajes de programación]. Se podían haber hecho muchas más cosas si el equipo técnico de Twitter no hubiera solucionado el problema tan rápido", aclara Vargas.
El hecho de que Twitter sólo permita escribir mensajes con un máximo de 140 caracteres no es supone un obstáculo para los creadores de código malicioso, que podían haber aprovechado la vulnerabilidad de Twitter con peores fines. Según la empresa de seguridad F-Secure, el virus más corto creado hasta el momento sólo ha necesitado de 22 caracteres para propagarse.

La expansión rápida es la clave

1. ‘Morris' (1988)
Fue el primer código malicioso con capacidad para replicarse por sí mismo que afectó a internet. Se estima que en aquel momento afectó a un 10% de los 60.000 ordenadores conectados a la red. Su fin era averiguar las contraseñas, pero produjo cientos de fallos en los sistemas.
2. ‘Melissa' (1999)
Es un virus para Word que tiene capacidad para autoenviarse adjunto en un correo electrónico. Se considera que otros gusanos posteriores, como ‘ILoveYou' (con un impacto económico de de 10.000 millones de euros) siguieron su estela.
3. ‘Conficker' (2008)
Microsoft llegó a ofrecer una recompensa de 250.000 dólares a quien entregase información sobre sus autores. Se propagaba mediante apertura de archivos, webs maliciosas y USB. 

No hay comentarios: