{"id":298343,"date":"2022-08-02T06:44:11","date_gmt":"2022-08-02T06:44:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-casi-3200-aplicaciones-moviles-que-filtran-claves-api-de-twitter\/"},"modified":"2022-08-02T06:44:12","modified_gmt":"2022-08-02T06:44:12","slug":"investigadores-descubren-casi-3200-aplicaciones-moviles-que-filtran-claves-api-de-twitter","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-casi-3200-aplicaciones-moviles-que-filtran-claves-api-de-twitter\/","title":{"rendered":"Investigadores descubren casi 3200 aplicaciones m\u00f3viles que filtran claves API de Twitter"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Los investigadores han descubierto una lista de 3207 aplicaciones m\u00f3viles que exponen claves API de Twitter, algunas de las cuales pueden utilizarse para obtener acceso no autorizado a cuentas de Twitter asociadas con ellas.<\/p>\n<p>La adquisici\u00f3n es posible gracias a una filtraci\u00f3n de informaci\u00f3n leg\u00edtima de Consumer Key y Consumer Secret, respectivamente, firma de seguridad cibern\u00e9tica con sede en Singapur. <a rel=\"nofollow noopener\" href=\"https:\/\/cloudsek.com\/whitepapers_reports\/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army\/\" target=\"_blank\">CloudSEK dijo en un informe<\/a> compartido exclusivamente con The Hacker News.<\/p>\n<p>&#8220;De 3.207, 230 aplicaciones est\u00e1n filtrando las cuatro credenciales de autenticaci\u00f3n y se pueden usar para hacerse cargo por completo de sus cuentas de Twitter y pueden realizar cualquier acci\u00f3n cr\u00edtica\/sensible&#8221;, dijeron los investigadores. <\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Esto puede variar desde leer mensajes directos hasta realizar acciones arbitrarias como retuitear, dar me gusta y eliminar tuits, seguir cualquier cuenta, eliminar seguidores, acceder a la configuraci\u00f3n de la cuenta e incluso cambiar la imagen de perfil de la cuenta.<\/p>\n<p>Acceso a la API de Twitter <a rel=\"nofollow noopener\" href=\"https:\/\/developer.twitter.com\/en\/docs\/twitter-api\/getting-started\/getting-access-to-the-twitter-api\" target=\"_blank\">requiere<\/a> generar claves secretas y tokens de acceso, que act\u00faan como nombres de usuario y contrase\u00f1as para las aplicaciones, as\u00ed como los usuarios en cuyo nombre se realizar\u00e1n las solicitudes de API.<\/p>\n<p>Un actor malicioso en posesi\u00f3n de esta informaci\u00f3n puede, por lo tanto, crear un ej\u00e9rcito de bots de Twitter que podr\u00eda aprovecharse potencialmente para difundir informaci\u00f3n err\u00f3nea\/desinformaci\u00f3n en la plataforma de redes sociales.<\/p>\n<p>&#8220;Cuando se pueden utilizar m\u00faltiples adquisiciones de cuentas para cantar la misma melod\u00eda en t\u00e1ndem, solo se reitera el mensaje que debe distribuirse&#8221;, se\u00f1alaron los investigadores.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Adem\u00e1s, en un escenario hipot\u00e9tico explicado por CloudSEK, las claves API y los tokens recopilados de las aplicaciones m\u00f3viles se pueden integrar en un programa para ejecutar campa\u00f1as de malware a gran escala a trav\u00e9s de cuentas verificadas para dirigirse a sus seguidores.<\/p>\n<p>Adem\u00e1s de la preocupaci\u00f3n, debe tenerse en cuenta que la filtraci\u00f3n de claves no se limita solo a las API de Twitter.  En el pasado, los investigadores de CloudSEK descubrieron las claves secretas de las cuentas de GitHub, AWS, HubSpot y Razorpay de aplicaciones m\u00f3viles desprotegidas.<\/p>\n<p>Para mitigar este tipo de ataques, se recomienda revisar el c\u00f3digo de las claves de API directamente codificadas y, al mismo tiempo, rotar peri\u00f3dicamente las claves para ayudar a reducir los posibles riesgos derivados de una fuga.<\/p>\n<p>&#8220;Las variables en un entorno son medios alternativos para referirse a las claves y disfrazarlas adem\u00e1s de no incrustarlas en el archivo fuente&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Las variables ahorran tiempo y aumentan la seguridad. Se debe tener el cuidado adecuado para garantizar que no se incluyan archivos que contengan variables de entorno en el c\u00f3digo fuente&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/researchers-discover-nearly-3200-mobile.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores han descubierto una lista de 3207 aplicaciones m\u00f3viles que exponen claves API de Twitter, algunas de<\/p>\n","protected":false},"author":1,"featured_media":298344,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,8343,4661,2432,42929,4664,6073,4662,15639,12583,4668,4667,19038,4654,4658,4659,4653,4655,4663,4666,4665,5015,4660],"class_list":["post-298343","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-aplicaciones","tag-ataques-ciberneticos","tag-casi","tag-claves","tag-como-hackear","tag-descubren","tag-filtracion-de-datos","tag-filtran","tag-investigadores","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-moviles","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-twitter","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/298343","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=298343"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/298343\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/298344"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=298343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=298343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=298343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}