Así 'hackeó' un joven de 17 años la cuenta de Twitter de Bezos, Obama o Musk
Un adolescente consiguió acceder a más de un centenar de perfiles, entre los que estaban también Kanye West o Warren Buffet, y estafó casi 120.000 dólares en bitcoins
:format(jpg)/f.elconfidencial.com%2Foriginal%2F70d%2F0d7%2F158%2F70d0d71586ab263bf47b737193c3dd3d.jpg)
El momento clave del peor ataque informático que ha sufrido Twitter en su historia podría parecer algo que millones de personas considerarían estéril. Fue una llamada del departamento de Tecnología de la Información. O al menos, lo parecía
De hecho, la llamada procedía de un adolescente de Florida que había convencido a un empleado de Twitter de que era su compañero de trabajo, tal y como relataron los fiscales en la vista celebrada la semana pasada. Es persuasión fue el paso decisivo que, tras meses de trabajo, hizo que un chaval de 17 años tuviera el acceso a las cuentas maestras de Twitter y pudiera hacer de las suyas en los perfiles de, entre otros, Elon Musk, Barack Obama o Kanye West.
Hace meses, Graham Ivan Clark pasó de comprar y vender cuentas en plataformas de internet a ponerse como reto quebrar la seguridad interna de Twitter, según fiscalía y fuentes conocedoras de la situación.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F849%2F61d%2Fb9a%2F84961db9a737cf2dd82b8233abaeee18.jpg)
"Esto no se parece a lo que hizo Matthew Broderick en 'Juegos de guerra'. Se combinó un elemento de hackeo con la ingeniería social", explicaba Andrew Warren, fiscal del condado de Hillsborough, en Florida.
Además de esa persuasión telefónica, el atacante se hizo con el control del número de teléfono gracias a una técnica llamada 'SIM swapping', mediante el que el hacker convence a un operador de que asigne un número de teléfono a un terminal nuevo, tal y como relata Warren. Además mandó un puñado de páginas falsas, incluyendo una que imitaba el portal de registro de Okta, una compañía que da servicios de seguridad interna para empresas. Okta rápidamente aseguraba que "la situación no puso en riesgo los servicios de la compañía".
Clark se declaró no culpable en el tribunal el pasado lunes, según su abogado, David Weisbrod, que afirma que todavía sigue bajo custodia policial.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6a4%2F9d6%2Fa01%2F6a49d6a01d4c7b4ece2d560434c8796e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6a4%2F9d6%2Fa01%2F6a49d6a01d4c7b4ece2d560434c8796e.jpg)
En marzo Twitter impuso el teletrabajo, creando un escenario ideal para este tipo de ataques, según explican expertos en ciberseguridad. Un portavoz de la red social afirma que no se han relajado las medidas de seguridad durante la pandemia.
Una vez que tuvo acceso al sistema, Clark, supuestamente, consiguió hacerse con todos los protocolos de seguridad y desató su ataque el 15 de julio, atrayendo la atención de medio mundo y tomando como rehén una de las herramientas de comunicación más poderosas del planeta.
Está acusado de acceder a más de 100 perfiles y de estafar tanto a Twitter como a los propietarios de esa cuenta, además de a las 400 personas que enviaron dinero. Otros dos implicados, Mason Sheppard, de Reino Unido, y Nima Fazeli, también de Florida, están acusados por su implicación en el hackeo. Sheppard tiene 19 años. Los abogados de ambos no han respondido.
All of them got hacked at the same time with the same or similar message tweeted out 🤔
— LT FREEDOM (@lt_freedom) July 15, 2020
Kanye West
Elon Musk
Bill Gates
Jeff Bezos
Apple
CashApp
Uber
Mike Bloomberg
Joe Biden
Warren Buffett
Wiz Khalifa
Barack Obama
MrBeast
Floyd Mayweather pic.twitter.com/44ImeamgFL
Las tácticas que Clark supuestamente utilizó han sido perfeccionadas con el paso de los años por la comunidad de piratas informáticos. Durante años se han entrenado robando cuentas de PlayStation o Xbox solo por diversión.
En los últimos cinco años, estas actividades se han disparado hasta convertirse en una amenaza que ha afectado a miles de personas y que ha provocado decenas de millones en pérdidas, según investigadores de ciberseguridad. Esas prácticas tienen ahora el foco del FBI y el Servicio Secreto sobre ellas.
La mayoría de estas usurpaciones de cuentas pasan inadvertidas, pero en los últimos años han pasado a ser algo siniestro, explica Allison Nixon, jefe de investigaciones de la firma de ciberseguridad Unit 221b. Los ataques más agresivos llevan el acoso a cotas muy altas, incluso diciendo a la policía que hay una toma de rehenes en una casa para que un equipo de asalto irrumpa en el hogar de alguien, o chantajeando tras robar fotos comprometidas. "No hay una línea que no vayan a cruzar", dice Nixon.
Expertos y fiscales creen que el hackeo de Twitter podría haber sido más dañino si hubieran usado la infiltración para publicar noticias falsas
Las compañías de seguridad y los fiscales creen que el hackeo de Twitter podría haber sido más dañino si los piratas hubieran usado la infiltración para publicar noticias falsas de las compañías. Clark dio acceso a sus socios para vender el acceso a las cuentas de Twitter para promocionar una estafa con bitcoin que recaudó 117.000 dólares.
Twitter afirma que ya ha reforzado su red de seguridad. "Desde el ataque hemos reducido significativamente el acceso a nuestras herramientas y sistemas internos", decía la red social en un comunicado publicado la semana pasada.
Nixon ha monitorizado la actividad de Clark desde 2013 y explica que pasa mucho tiempo jugando a videojuegos. "Tiene sus patrones y no solo estafa, sino también acusa falsamente a otros de lo mismo", dice. El abogado de Clark no ha respondido a estas acusaciones.
Un usuario de internet relaciona a Clark con una cuenta que se describe como "'trader' de criptomonedas a tiempo completo despido" y en la que alega que las divisas digitales "son básicamente toda mi vida".
:format(jpg)/f.elconfidencial.com%2Foriginal%2F65b%2Fe10%2F908%2F65be1090804e9e33104da9a4e2562d6f.jpg)
En una investigación sin relación con este caso, las autoridades registraron la casa de Clark en agosto, incautando sus ordenadores y congelando unos 300 bitcoins, por valor de 3,4 millones según el valor de este lunes, según el abogado del acusado, David Weisbrod, que no ha hecho comentarios sobre el curso de la investigación. Clark pagó 100 bitcoins a las autoridades para resolver el asunto sin admitir su culpabilidad, dijo Weisbrod.
En el centro del hackeo está un foro online conocido como OGUsers.com. Desde su lanzamiento en 2017 se ha convertido en un mercado donde los usuarios compran y venden 'software', códigos para hacer trampa en videojuegos e incluso acceso a cuentas de videojuegos y redes sociales.
El foro se describe como "una comunidad digital impulsada por un mercado que conecta a compradoras y vendedores de todo el mundo". OGUsers no contestó a la petición de comentarios.
A mediados de julio, un usuario del foro bajo el nick "lol" contactó con Sheppard, que vive con su madre en la localidad británica de Bognor Regis, tal y como confirmó el propio Sheppard en una entrevista con 'The Wall Street Journal' días después del ataque. No respondió a los mensajes en los últimos días. Ambos eran reconocidos usuarios del foro que habían vendido cuentas de diferentes plataformas, según documentos y la propia cuenta de Sheppard.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd6c%2Fffc%2F7f1%2Fd6cffc7f18db8d8c27ed02e6472639c9.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd6c%2Fffc%2F7f1%2Fd6cffc7f18db8d8c27ed02e6472639c9.jpg)
Un usuario llamado 'Kirk' en el foro aseguraba que trabajaba para Twitter y que podía vender el control de diferentes cuentas a quien pusiera el dinero sobre la mesa, tal y como "lol" le contó a Sheppard. La investigación apunta a que "Kirk" era Graham Ivan Clark, el acusado.
Después de que "Kirk" demostrara que podía hacerlo, Sheppard y "lol" accedieron a hacer las veces de 'brokers', según la declaración de Sheppard. El grupo se comunicaba en un servidor de Discord, una conocida plataforma muy usada para videojuegos, en la que hablaban sobre sus planes.
Sheppard dijo en la entrevista con 'WSJ' que se pasó la mañana del día 15 de julio poniendo en contacto a ocho compradores con "Kirk", con algunos pagos de hasta 10.000 dólares.
En los primeros momentos utilizaron cuentas inactivas para hacer las pruebas. Según el tribunal se hicieron con los perfiles @L, @bitch y @w y luego tomaron el control de @anxious, una cuenta que ya está inactiva y que no se había usado en una década.
Según avanzó el 15 de julio, Clark supuestamente escaló la estafa y, según los investigadores, se hizo con el control de los perfiles de Bill Gates o Jeff Bezos, ofreciéndose a doblar los envíos de dinero que llegaran a una cuenta de bitcoin.
Cuando Sheppard se dio cuenta de la gravedad de la estafa se puso en contacto con la prensa para tratar de limpiar su nombre, como él mismo explicó
Cuando Sheppard y "lol" se dieron cuenta de la gravedad de la estafa, contactaron con la prensa para limpiar sus nombres, según dice el primero. Sheppard se enfrenta a 45 años en una prisión federal si es declarado culpaba de fraude y ciberestafa. Fazeli, por su parte, podría pasar en prisión hasta cinco años, mientras que Clark tiene en su contra hasta 30 cargos por estafa.
En el foro OGUsers muchos usuarios se reían de ellos, preguntándose quién usaría Discord para mandar mensajes teniendo en cuenta que son visibles para cualquier administrador de la compañía, en vez de utilizar plataformas encriptadas.
También dudaban, entre risas, de cuantos de ellos estarían siendo investigados por el FBI. "Me pregunto cuantos federales hay ahora mismo entre nosotros", escribía un usuario en un hilo titulado "¿Cuál es el porcentaje de agentes?"
El momento clave del peor ataque informático que ha sufrido Twitter en su historia podría parecer algo que millones de personas considerarían estéril. Fue una llamada del departamento de Tecnología de la Información. O al menos, lo parecía
:format(jpg)/f.elconfidencial.com%2Foriginal%2F849%2F61d%2Fb9a%2F84961db9a737cf2dd82b8233abaeee18.jpg)