logo

El hackeo a Twitter: un ataque desde dentro

16 julio, 2020 | 0 comments |

Twitter todavía investiga cómo se produjo un ataque que, según sus sospechas, se aprovechó de herramientas y procesos internos

El ataque masivo que Twitter sufrió recientemente todavía tiene consecuencias. Por el momento, las cuentas verificadas, principal objetivo de los estafadores por su mayor alcance y reputación, han sido desactivadas. La red social aún no ha explicado cómo se produjo, aunque sí ha hecho públicas sus sospechas.

Lo que está claro es que no se trató de un ataque normal y mucho menos casual: en un principio se escogieron cuentas relacionadas con el mundo de las criptomonedas y más tarde pasó a famosos (Barack Obama, Joe Biden, Elon Musk o Kanye West, entre otros) y empresas (Apple Uber).

En un principio se dirigía a la página de un proyecto que supuestamente combinaba este dinero virtual con el sector sanitario y más tarde directamente ofrecían doblar los bitcoins que cualquier persona enviase a su cuenta. El problema, claro, está en que esa cantidad nunca iba a llegar y en este caso la transacción es mucho más complicada de rastrear y cancelar que si se tratase, por ejemplo, de una transferencia bancaria normal.

Según la investigación -todavía en marcha- de Twitter, todo apunta a un “ataque coordinado de ingeniería social” dirigido a personas que trabajan en la compañía “con acceso a sistemas y herramientas internas”. Con éstas habrían podido controlar la cuenta de personalidades como Bill Gates para publicar el mensaje que prometía bitduros por cuatro pesetas.

LA RESPUESTA DE TWITTER

“Sabemos que utilizaron este acceso para tomar el control de muchas cuentas de gran visibilidad (incluidas algunas verificadas) y tuitear”, explica la firma en otro mensaje. Esto, además, podría haber permitido que accediesen a información confidencial como pueden ser los mensajes privados y, de hecho, si no hubiesen publicado los tuits con la estafa podría no haberse conocido nunca el ataque.

La respuesta de Twitter fue bloquear temporalmente las cuentas afectadas, borrar sus mensajes fraudulentos y limitar acceso y funciones a todas las cuentas verificadas (más de 350.000), independientemente de si sospechaban que habían sido atacadas. Irán recuperando el control de la cuenta próximamente, pero por el momento al entrar verán un mensaje que explica que se ha desconectado su cuenta de todos los dispositivos en los que había iniciado sesión y para volver a utilizarla será necesario cambiar la contraseña (actualmente no siempre es posible completar el proceso).

Infografía: Los famosos víctimas del hackeo masivo en Twitter | Statista

Desde el principio, no obstante, se rumoreó otra posibilidad: que el acceso a la herramienta interna de Twitter no se consiguiese con un ataque, sino con una cartera repleta de billetes. Motherboard asegura haber obtenido capturas de pantalla y declaraciones de hackers que prueban esta teoría. Además, según sus fuentes el ataque también se habría utilizado para cambiar la ‘propiedad’ de cuentas codiciadas, como aquellas cuyo nombre de usuario es únicamente una letra. Al cambiar la contraseña y el correo electrónico, sus propietarios no podrían recuperarlas sin la intervención de Twitter.

La compañía bloqueó todas las cuentas que se vieron comprometidas y no devolverá su control hasta que pueda hacerlo con seguridad. Asimismo, han limitado el acceso a sus sistemas y herramientas mientras dure la investigación.

¿PODRÍA HABERSE EVITADO?

Si bien en los primeros momentos hubo dudas, parece bastante evidente que el ataque se saltó las medidas de seguridad que proporciona la red social al atacar directamente a ésta. Es decir, por mucho que las personas afectadas hubiesen activado la verificación en dos pasos y tuviesen contraseñas seguras (algo que, dado sus perfiles, es más que probable), no pudieron hacer nada.

Entonces, ¿podría haberse evitado? Prepararse para un ataque así es muy difícil, ya que no depende de la estructura de seguridad de la plataforma, sino de las personas que trabajan en ella. Como demuestran ataques informáticos como el del hospital de Torrejón de principios de año, a veces basta con engañar a un empleado para que abra un enlace, archivo o dispositivo malicioso en su puesto de trabajo. En este sentido, lo mejor es desconfiar siempre de los remitentes desconocidos.

Independientemente de cuál fue la llave que se utilizó para abrir la puerta, la casa ha quedado destrozada. El ataque es, sin duda, el más importante que ha sufrido Twitter y posiblemente el peor al que se ha enfrentado una red social.

A esto hay que unir que la respuesta de la compañía no fue la más rápida, posiblemente porque tardó en sospechar que sus propias herramientas fuesen las causantes. Informó de un problema, pero tardó horas en tomar medidas más drásticas y se limitaba a borrar los mensajes. Así, la cuenta de Elon Musk pudo tuitear hasta tres veces sin que Twitter consiguiese ponerse al volante.

Además, los perfiles atacados eran muy relevantes (Joe Biden, no lo olvidemos, es candidato a las elecciones estadounidenses y fue vicepresidente de un Barack Obama que también se vio afectado). La cuenta de Donald Trump no fue secuestrada, pero, de haberlo sido, podría haber tuiteado una declaración de guerra del mismo modo que Jeff Bezos ‘regaló’ bitcoins.