menu MENÚ
MALDITA TECNOLOGÍA

Cómo funciona el proceso de recuperación de cuentas de Twitter y por qué es difícil que un hackeo se resuelva en unas horas

Publicado
Claves
  •  Desde la cuenta de Twitter de Iker Casillas se publicó un tuit anunciando su supuesta homosexualidad, que luego se borró para señalar que había sido hackeada
  • Entre un tuit y otro pasaron apenas tres horas, un tiempo que especialistas en ciberseguridad consideran corto para recuperar una cuenta robada
  • Desde la agencia que representa a Casillas -y a la que estaría ligada su perfil de Twitter- no han hecho comentarios sobre el supuesto hackeo

     
Comparte
Etiquetas

Twitter ha sido durante dos días protagonista de otra polémica a raíz de una publicación en el perfil personal del exfutbolista Iker Casillas, en el que cuenta con casi diez millones de seguidores. “Espero que me respeten: soy gay. #felizdomingo”, fue el mensaje que se publicó en la cuenta del deportista, para poco después desaparecer de ella y que una nueva publicación asegurase que no era real: “Cuenta hackeada. Por suerte todo en orden. Disculpas a todos mis followers. Y por supuesto, más disculpas a la comunidad LGTB”.

Casillas afirmó que el tuit sobre su supuesta homosexualidad -que se entendió como ofensivo en la red social- fue producto de un “hackeo” a su cuenta. Sin embargo, algunos usuarios han puesto en entredicho que esta afirmación sea cierta por el reducido espacio de tiempo entre que puso el primer tuit y anunció que su cuenta había sido vulnerada. Así, esta situación nos da pie a hablar de los procesos de recuperación de cuentas en redes sociales y lo complicado que suele ser hacerlo.

Lo que sabemos sobre el caso de Iker Casillas

El primer tuit con el supuesto anuncio se publicó en torno a las dos de la tarde del domingo 9 de octubre, mientras que el de rectificación unas tres horas después. Este lunes, 10 de octubre, el mensaje todavía era legible en el buscador de Google (cuya caché almacena los contenidos durante más tiempo que las redes sociales).

Capturas de tuits recientes publicados por la cuenta de Twitter de Iker Casillas, archivadas en la caché de Google.

A este mensaje contestó el también exfutbolista Carles Puyol, con las siguientes palabras: “Es el momento de contar lo nuestro, Iker”, junto a un emoticono de un beso volado y un corazón. La red social estalló en críticas, que se trasladaron a los medios de comunicación, hasta que Casillas anunció el supuesto hackeo a su cuenta. Poco después, Puyol tuiteó una disculpa, sin mencionar ningún hackeo: “Me he equivocado. Perdón por una broma torpe sin ninguna mala intención y absolutamente fuera de lugar. Entiendo que puede haber herido sensibilidades. Todo mi respeto y apoyo a la comunidad LGTBIQA+”.

De haber sido hackeada la cuenta con la que se publicaron los tuits en el perfil de Iker Casillas, significaría que el correo electrónico para acceder a ella habría sido comprometido (lo contrario sugiere que el tuit en cuestión se escribió desde el propio móvil de Casillas u otro dispositivo con acceso previo a la cuenta).

Como señala el analista Javier Barriuso en Twitter, la cuenta de recuperación asociada al perfil de Casillas usa un dominio que empieza por el número tres y al que siguen cinco caracteres: “@3*****.***. Esta dirección puede coincidir con la agencia que representa a Casillas en los últimos años: 380 AMK. De modo que, según la versión del exportero, cabría la posibilidad de que hubiese sido la agencia la vulnerada.

Desde Maldita.es hemos contactado con la consultora para recabar su posición sobre lo ocurrido con la cuenta de Casillas, pero al momento de la publicación de este artículo no hemos recibido respuesta. Sin embargo, sí que hemos podido comprobar que la dirección de correo que utilizan como punto de contacto utiliza el dominio “@380amk.com”, que coincidiría con la dirección de recuperación que figura en Twitter.

Recuperar una cuenta robada suele ser una cuestión de días, y no de horas

Es la conclusión de especialistas en ciberseguridad o identidad digital que se han encontrado con casos de robos de cuentas en plataformas digitales, no solo Twitter. Desde Maldita.es hemos contactado con Twitter para conocer más en profundidad cómo funciona el proceso de recuperación de cuentas pero nos han derivado a una página de su blog en el que se explica qué hacer si tu cuenta está comprometida.

Los procesos en las principales redes sociales son similares: tras detectar que nos han robado la cuenta, deberemos contactar con el equipo de soporte a través de los menús que proporcionan las propias plataformas.

“El típico proceso, no solo en Twitter, sino en la mayor parte de las plataformas, es informarles en primer lugar de que la cuenta ha sido hackeada para que la suspendan o no permitan hacer más publicaciones. Para eso tenemos que proporcionar nuestro correo de acceso u otro dato personal. Puede ser un teléfono, un correo electrónico, si hay un factor de doble autenticación usando ambos factores, etc.”, explica Hugo Álvarez, responsable de la empresa de ciberseguridad Perception Point.

La complejidad en este caso suele ser demostrar que efectivamente somos quienes decimos ser, expone Álvarez, ya que la primera parte del proceso suele ser automatizada, hasta que la solicitud pasa al equipo de soporte de la red social en cuestión: “Todos los fabricantes o desarrolladores tienen un equipo de soporte técnico que se dedica a reactivar cuentas y este tipo de problemas. También a suspenderlas en el caso de que hayan sido comprometidas”.

Álvarez asegura que hasta que este proceso se completa, suelen pasar entre 48 y 72 horas, el tiempo estándar que se puede tardar en completar el proceso de verificación de identidad de la persona afectada.

Incluso, algunas empresas directamente te avisan que al iniciarse un proceso de recuperación de una cuenta, pueden necesitar hasta 48 horas “para asegurarse de que la cuenta es tuya”. Aquí vemos un ejemplo con Gmail, de Google.

Aviso enviado por Google tras iniciar el proceso de recuperación de una cuenta de Gmail previamente bloqueada por un aviso de seguridad.

Al entrar en juego empleados de carne y hueso en el proceso de recuperación de las cuentas, también hay que tener en cuenta cuánto pueden estar pendientes de revisar el caso, como relataba a Maldita.es en Twitch Selva Orejón, directora ejecutiva de onBRANDING y experta en identidad digital. Parte de la labor de su empresa consiste en ayudar a personas afectadas por casos de suplantación de identidad y robo de cuentas.

“Corporativamente, no son empresas de fácil alcance”, explicaba a Maldita.es sobre grandes plataformas como Twitter, Facebook o Instagram (las dos últimas propietarias de Meta), especialmente para un usuario corriente sin ningún tipo de relación con ellas. “Deben de existir esos formularios [para denunciar casos de suplantaciones de identidad] y existen, pero la respuesta no es rápida porque están sobresaturados”, admitía.

Y añadía: “Son muy buenos monetizando nuestros datos, pero son bastante lentos dando respuesta a los usuarios que están en apuros”.

Existen empresas especializadas en recuperar cuentas en redes sociales

Este fenómeno no acaba aquí, y es que además de la denuncia sobre la dificultad que supone recuperar una cuenta robada en poco tiempo, se suma la denuncia de que esto solo es posible cuando se tienen contactos dentro de las plataformas que se encarguen de gestionar el proceso.

Por ejemplo, ilustrábamos en Maldita.es, en 2019, como divulgadoras con decenas de miles de seguidores como Rocío Vidal (a cargo del canal La Gata de Schrödinger), contaban cómo habían perdido su cuenta ante un caso de suplantación de identidad en Twitter y cómo habían conseguido recuperarla “a la hora” gracias a “contactos” en la plataforma.

De igual forma se describe en este artículo en elDiario.es, que cuenta cómo se hackearon los perfiles de la revista feminista Pikara Magazine o el colectivo artístico Twee Muizen en Instagram y cómo se recuperaron gracias a contactos que pasaron la solicitud de recuperación a través de los departamentos de comunicación o márketing (saltándose el procedimiento habitual de contactar al equipo de soporte a través de un formulario).

Lo cierto es que existe un mercado alrededor de la recuperación de cuentas en redes sociales, como pone de relieve este reportaje en El Confidencial: “La cifra [que se paga a empresas para recuperar cuentas] depende de varios factores: del tipo de 'hackeo', si se trata de un bloqueo o inhabilitación, del número de seguidores y de si el usuario sabe la información que hace falta. Así pues, cada caso tendrá un precio, pero siempre en una horquilla aproximada que va desde los 700 euros a los 1.500”, escribe Guillermo Martínez, un periodista al que hackearon sus cuentas de Twitter y de Instagram para promocionar criptos, como contamos en Maldita.es.

Cómo saber si alguien se ha hecho con nuestra cuenta y qué hacer para recuperarla

No siempre es fácil darse cuenta de que alguien ha tomado el control de tu cuenta. El signo más evidente es que no podamos acceder a ella porque la contraseña no es correcta. Si un ciberdelincuente roba tu cuenta, lo más probable es que cambie la contraseña para que ni tú mismo puedas volver a entrar. En caso de estar completamente seguro de que estás usando la contraseña correcta, podrías sospechar. También podemos sospechar si vemos un inicio de sesión desde una ubicación o un dispositivo que no reconocemos.

En Maldita.es te contamos cómo podemos recuperar una cuenta robada a través de los canales tradicionales, en los que el primer paso siempre será acudir directamente a las plataformas a través de los siguientes enlaces a plataformas populares. WhatsApp, Facebook, Instagram, TikTok, Twitter, YouTube, Google, Apple, Amazon, Gmail, Outlook o Netflix. Eso sí, si utilizan tu cuenta para suplantar tu identidad y hacer compras o encargar transacciones de dinero, es recomendable acudir a la Policía con todas las evidencias que hayamos conseguido reunir y presentar una denuncia.

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.