100.000€ estafados en 4 horas: así se produjo el mayor 'hackeo' de la historia de Twitter

Fue como una bomba viral. A partir de las 22:00 horas en España, y en medio de un día relativamente tranquilo, algo empezó a torcerse en la red del pajarito. Una cuenta grande como la de Elon Musk o la de Bill Gates o incluso la de Apple o Uber de repente tuiteaba un mensaje pidiendo bitcoins y asegurando que devolvería el doble de esas monedas a todo el que se los mandase. Empezaba por una, después otra, y otra... Todas apuntando a la misma 'cartera' de bitcoins que llegó a hacerse con más de 100.000 euros en esta criptomoneda en unas 4 horas.

El incendio generado por este ataque cibernético duró varias horas hasta que Twitter pudo controlarlo, y hasta provocó grandes caídas en Bolsa para la plataforma de 'microblogging'. Pero, ¿cómo es posible que algo así ocurra en una de las redes sociales más potentes del planeta y con cuentas tan grandes y delicadas? Todo apunta a un nuevo fallo humano.

TE PUEDE INTERESAR

'Hackean' en Twitter a Musk, Obama, Bezos y cientos de cuentas para estafar con bitcoin

G.C. B. T.

Tras horas de investigación y confirmando los primeros rumores que circulaban por esta red social desde primera hora de la noche, Twitter confirmaba a través de sus cuentas oficiales que habían detectado un ataque coordinado de ingeniería social hacia varios de sus empleados. "Detectamos lo que creemos que es un ataque coordinado de ingeniería social por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internas". Su mensaje iba en consonancia con las teorías de los expertos, pero aún queda saber qué había detrás y cómo consiguieron llegar a un impacto tan profundo.

"Todavía queda mucho por saber de lo ocurrido, pero está claro que haber sido así, por ingeniería social, la persona que lo hizo tenía un conocimiento profundo de cómo funciona la compañía. Eso creo que es lo más interesante y también lo más llamativo porque no es fácil conocer ese nivel de detalle y además una vez realizado el ataque poder moverte de esta forma por una plataforma como Twitter. Tienes que saber que hay un panel que controla este perfil concreto y que permite tuitear o borrar tuits de todo tipo de cuentas, que permite cambiar credenciales de usuarios, etc", explica Lorenzo Martínez, experto en seguridad informática de la empresa Securízame y perito informático forense, en conversación con Teknautas.

Su opinión coincide con lo desvelado por el medio especializado 'Motherboard' que ha podido hablar con fuentes conocedoras de lo ocurrido. Según le contaron a este medio, un empleado directo de Twitter les ayudó a realizar el ataque e incluso pagaron por esa información privilegiada. Eso explicaría parte de lo ocurrido, aunque faltaría saber si, como dice la empresa, también usaron esa información del empleado para robar credenciales de otros trabajadores (a través de ese ataque de ingeniería social basado en 'phishing' o similar). Sea de una manera o de otra, parece clara la vía de entrada pero, como también apunta Martínez, eso no libra a Twitter de una responsabilidad final.

"De ser como están contando y poder haber atacado todas estas cuentas simplemente entrando con las credenciales de un empleado o varios, es un ejemplo de un mal procedimiento dentro de la compañía. Sinceramente no sé cómo funciona internamente, pero que un solo usuario pueda tener tanto poder sobre lo que se hace en la red sin tener que contar con la aprobación de nadie más sería una mala práctica. Esto es como en las películas que para lanzar un misil necesitas de que varias personas introduzcan sus llaves. Tener más de una autenticación o algo similar te podría librar de estos ataques, siempre y cuando sea como se está contando", apunta el experto.

Yago Hansen, 'hacker' y experto en ciberseguridad, también está con Martínez. "El control de la ciberseguridad está mejorando mucho en las empresas de contenidos electrónicos, pero un punto débil todavía hoy en día es la securización desde el interior contra 'insiders'. Los empleados tienen acceso a muchas funcionalidades, en algunos casos a demasiadas. Se trata de segmentar la seguridad de los activos de una compañía, basándose en parámetros de gestión más que de seguridad. Por ejemplo, en una compañía financiera, cuando se realiza una transferencia de fondos importante un empleado solo puede ordenarla, pero no se realiza hasta que su supervisor la autoriza. Controlando y segmentando las operaciones importantes se mejora la seguridad".

Además, Hansen añade un detalle clave: estas cuentas 'hackeadas' son el mayor activo de una plataforma como Twitter, sin ellas pierde gran parte de su valor y así se ha visto en su caída en Bolsa. "El control de ciertas cuentas relevantes debería estar supervisado por más de una persona en su gestión interna. Este tipo de cuentas como las de Joe Biden, Elon Musk, Bill Gates, Barack Obama, Uber, Apple, además de grandes compañías inversoras en criptomonedas suponen el mayor activo para estas redes sociales, por lo que no deberían ser controladas por un empleado cualquiera sin pasar por otro tipo de controles más exhaustivos".

Sobre hasta qué punto pudieron penetrar los delincuentes o qué información pudieron sustraer, no hay nada claro (mucha gente empezó a borrar sus Mensajes Directos asustados por lo ocurrido, pero no hay ningún dato que confirme que podría haber leído esos mensajes) pero Martínez se pregunta si todo esto se hará público o no. Twitter ya ha explicado lo que han detectado y cómo creen que se produjo el ataque, pero no han dado más información sobre hasta dónde llegaron. "Supongo que si se ha detectado que se atacó a varios empleados ahora tendrán que hacer un estudio forense tanto de los equipos como de los usuarios afectados, pero no sé si darán más información pública al respecto".

Por su parte Hansen añade algo claro: por lo visto solo buscaban rédito económico aunque no descarta que hayan obtenido algo más. "El ataque solo intenta fomentar un 'scam', un engaño a los usuarios que vean estos tuits para que ingresen dinero a una cuenta de bitcoins, prometiendo devolver el doble. Este ataque podría haberse realizado enarbolando otro tipo de banderas, como por ejemplo políticas, de carácter activista, etc. No creo que hayan obtenido ningún otro tipo de información, ya que Twitter es una red de contenidos públicos. Eso no quiere decir que Twitter no maneje otro tipo de información sobre sus usuarios como perfilamiento mediante inteligencia artificial, gustos, vinculación política, etc".

Algo curioso que también menciona este 'hacker' es que a pesar de que parece poco dinero el recaudado por este 'scam', unos 13 bitcoins, que equivalen a, más o menos, 100.000 euros, la recompensa que da Twitter por avisar de un fallo de seguridad de este tipo en sus sistemas no supera los 8.000 euros. Una diferencia significativa y que está siendo mencionada en foros de 'hackers' y espacios similares.

El débil eslabón humano

Lo que sí pone de manifiesto este caso, como cuentan tanto Martínez como Hansen y otros expertos como Bernardo Quintero, fundador de VirusTotal, es que aunque cuando hay este tipo de ataque solemos pensar en grandes obras de ingeniería, el trasfondo suele ser mucho más básico y casi siempre está relacionado con el ser humano, la parte más frágil de la cadena de seguridad. "Cómo muchos comentáis, de una forma u otra, seguimos siendo el eslabón más débil", tuiteaba Quintero en un hilo sobre lo ocurrido.

Este tipo de ataques o similares no son nuevos en las redes sociales. Los accesos privilegiados de los empleados de estas plataformas llevan años siendo un quebradero de cabeza para las compañías. Como cuentan en Motherboard, empleados de Facebook usaron su acceso privilegiado a los datos de los usuarios para acechar a las mujeres, los de Snapchat tenían una herramienta llamada Snaplion que proporciona información sobre los usuarios y los de MySpace abusaron de una herramienta llamada "Overlord" para espiar a los usuarios durante el día del sitio. Incluso Twitter tuvo ya problemas similares como cuando dos exempleados utilizaron sus accesos para espiar a usuarios relacionados con el régimen de Arabia Saudí.

"Protegerse contra 'insiders' no es un tema fácil, por eso, como digo, se deben proteger ciertas cuentas de valor contra el mal uso de permisos por parte de cualquier empleado que no sea fiel a su contratador, algo que por otra parte suele ser muy habitual. Además, los trabajadores pueden ser víctimas de phishing dirigido o 'spear phishing', haciéndose pasar por un supervisor y solicitando las credenciales o la colaboración del empleado al que se dirige este ataque. Esta es una de las estrategias más utilizadas y más peligrosas hoy en día, ejecutada mediante ingeniería social de forma simple pero muy efectiva. Hay que tratar de ser conscientes siempre de lo que publicamos sobre nosotros en Internet para no tener que arrepentirnos algún día si pasa algo así", explica Hansen.

Para terminar, Martínez apunta que la seguridad no debe quedarse en contratos o cláusulas con los empleados, ni en creer que fichas a gente honrada, sino poner más atención en todo lo relacionado con aspectos técnicos. "Los contratos no paran las balas. Tú puedes trabajar con gente honrada y que firme que no va a filtrar nada, pero nunca se sabe pues es que, como nosotros mismos hemos comprobado haciendo tests, hasta un simple 'phishing' clásico sigue siendo súper efectivo. Así que lo que tienes que tener es un entramado de seguridad sólido que incluso ante filtraciones o descuidos proteja tu información y tus sistemas".