Docenas de expertos en seguridad engañados por un formulario web

La RSA Conference se celebra anualmente en San Francisco. Este evento internacional gira entorno a la seguridad informática y congrega a cientos de expertos en la materia. Con todo, la polémica ha salpicado esta edición de 2016 porque decenas de asistentes, supuestamente profesionales de la ciberseguridad, han caído en una trampa para principiantes.

Después de completar el registro online para participar en las conferencias, la página web pidió a los invitados que difundieran vía Twitter su asistencia al evento. El mensaje para compartir por la red social tenía un texto predefinido como este: "Voy a la #RSAC 2016 en San Francisco, ¿quién quiere venir conmigo?".

Normalmente, cuando un usuario quiere compartir algún mensaje vía Twitter debe hacer click en el botón azul con el logotipo y automáticamente se le redirige a la red social para que haga la publicación. En cambio, en la página web de la RSA Conference solicitaban (como se ve en la imagen) el nombre de usuario y la contraseña de los usuarios.

En esta ocasión no parece que la RSA Conference tuviese la intención de engañar a sus invitados, pero solicitar y almacenar las credenciales privadas de los usuarios es muy alarmante. Luego de haber recibido la información, el sitio web de RSA probablemente ejecutaba un script para iniciar sesión Twitter y publicar el tweet. Es decir que de alguna manera almacenaba el usuario y la contraseña de la red social. La polémica se centró en las víctimas, supuestos expertos en esta clase de ataques en Internet.

El público de Twitter no ha sido indiferente, el escarnio público no se ha hecho esperar. Según el usuario jgoguen "si te preguntas por qué los productos de infosec son malos, podéis ver todos los asistentes al #RSA2016 que regalaron su contraseña de Twitter".

Fuente: Luciano Moreira Cruz - Telegraph