Evite el phishing de TwitViewer: use aplicaciones compatibles con OAuth

Se encontró con mi feed de Twitter a primera hora de la mañana, un mar de usuarios que todos envían el mismo mensaje: "¿Quieres saber quién te acecha en Twitter??: //TwitViewer.net. "

El sitio, cuyo dominio se registró hoy a través de un servicio proxy de Arizona, promete una pantalla tipo galería de fotos de las últimas 200 personas que llegaron a su página de Twitter. El costo de este servicio? Nada, salvo su nombre de usuario y contraseña de Twitter. ¿La captura? Acabas de renunciar a tus credenciales de autenticación de Twitter en un sitio del que no sabes nada. Al demostrar este punto, el sitio envía automáticamente el mensaje mencionado a través de su cuenta de Twitter sin permiso y lo sigue automáticamente a las cuentas de Twitter de cualquiera de las fotos aleatorias en las que hace clic: personas a las que cree que visitaron su cuenta.

[Más información: los mejores servicios de transmisión de TV]

Twitter mismo ahora recomienda que los usuarios que se registraron para el "servicio" cambien sus contraseñas. Pero no es que esta estafa sugerida fuera inevitable en primer lugar. De hecho, hay dos barreras grandes entre usted y cualquier sitio de estafa en Twitter: Your brain y OAuth.

Vale la pena investigar un poco antes de tirar ciegamente sus credenciales de inicio de sesión principales a cualquier servicio de Internet con temática de Twitter (o cualquier cosa en Internet, para el caso). ¿El sitio parece legítimo? Tus sentimientos viscerales pueden ser más precisos de lo que crees. ¿Es lo que ofrece el sitio incluso físicamente posible? No puedo pensar en cómo un sitio de terceros, usando solo su nombre de usuario y contraseña de Twitter, podría rastrear a otros usuarios de Twitter que hayan hecho clic en su página de Twitter.

En cuanto a OAuth, este es un protocolo de autenticación para aplicaciones de escritorio y web diseñadas para mantener sus credenciales de inicio de sesión seguras de terceros. Las aplicaciones que admiten OAuth no le solicitan su nombre de usuario o contraseña directamente. En cambio, envían una solicitud a Twitter y le piden permiso para acceder a su cuenta.

En lugar de iniciar sesión en un tercero para atender esta solicitud, inicia sesión en su cuenta de Twitter a través de los servidores confiables de Twitter como lo haría normalmente. El verdadero apretón de manos para los permisos tiene lugar a través de Twitter. Una vez que hayas dado acceso a la aplicación para hacer lo que sea, Twitter genera una clave de acceso para la aplicación que se puede configurar en función de los diferentes niveles de acceso o tiempo. Usted controla el proceso y los términos de aprobación, e incluso puede eliminar los permisos de una aplicación después de los hechos.

No todas las aplicaciones de escritorio y web actualmente son compatibles con OAuth, pero es un método mucho más seguro de brindar acceso a terceros a su cuenta que simplemente enviar su nombre de usuario y contraseña. Si tiene que hacer esto último, asegúrese de confiar implícitamente en el sitio para mantener esta información, y su cuenta, en confianza. La situación de TwitViewer afectó incluso a algunas de las personas más conocedoras de la red en Twitter: ¡no dejes que te pase!

[foto cortesía de Mashable]

Actualización 12:44 PST: TwitViewer.net está ahora ¡abajo para el conteo!