Las cuentas de Twitter de algunos de los líderes políticos y empresariales más destacados de Estados Unidos, desde Barack Obama y Joe Biden hasta Jeff Bezos y Warren Buffett, Elon Musk, Kanye West, y compañías como Uber Technologies Inc., Apple Inc, entre otros, fueron pirateadas este miércoles pasado en un aparente esfuerzo por promover una estafa de Bitcoin.
Los ataques tuvieron un alcance deslumbrante y muy probablemente fueron coordinados. Las cuentas enviaron tweets prometiendo duplicar el dinero de los usuarios que enviaran fondos a través de Bitcoin en 30 minutos.
A medida que se desarrollaba el hack, las cuentas verificadas de Twitter perdieron repentinamente la capacidad de publicar nuevos tweets. “Es posible que no pueda tuitear o restablecer su contraseña mientras revisamos y abordamos este incidente”, escribió Twitter en su cuenta de soporte. Las acciones de la compañía cayeron un 6% en la pre-apertura de mercado de la bolsa de Nueva York ayer jueves.
Algunas de las cuentas de Twitter que fueron atacadas dijeron que usaban autenticación de dos factores y contraseñas seguras. Los tweets indican que se publicaron utilizando la aplicación web de Twitter, lo que generó teorías en línea de que el hack puede ser interno a Twitter o un servicio utilizado para administrar cuentas.
En cuestión de horas, Twitter dijo que el acceso se había restaurado para la mayoría de las cuentas. La compañía agregó efectivamente que el ataque había apuntado a empleados con acceso a sistemas y herramientas internos, que luego se utilizaron para tomar el control de cuentas de alto perfil. “Estamos investigando qué otra actividad maliciosa puede haber realizado o información a la que hayan accedido y compartiremos más aquí cuando la tengamos”, dijo la compañía.
Acceder a este portal interno habría requerido obtener las credenciales de un empleado de Twitter o encontrar una grave vulnerabilidad de seguridad en el sistema de inicio de sesión de la plataforma. A partir de ahí, un pirata informático pudo haber cambiado la dirección de correo electrónico asociada con la cuenta, lo que le permitió cambiar la contraseña y obtener el control total.
El presidente ejecutivo de la compañía, Jack Dorsey escribió: “Un día difícil para nosotros en Twitter. Estamos diagnosticando y compartiremos todo lo que podamos cuando tengamos una comprensión más completa de lo que sucedió exactamente”.
Hasta ahora, la dirección de Bitcoin tuiteada por los hackers ha sido enviada a más de 12 Bitcoins, por un valor de más de $110,000. El popular intercambio de Bitcoin Coinbase ha bloqueado a sus usuarios para que no envíen dinero a la dirección.
Cualquiera sea la fuente, la violación provocó una respuesta rápida de los legisladores. “Me preocupa que este evento pueda representar no solo un conjunto coordinado de incidentes de piratería por separado, sino más bien un ataque exitoso a la seguridad de Twitter”, dijo en un comunicado el senador estadounidense Josh Hawley, republicano de Missouri, pidiéndole a Dorsey que inmediatamente se comunicase con el Departamento de Justicia de EE. UU. y la Oficina Federal de Investigación.
Twitter ha sufrido anteriormente hacks de alto perfil, incluido uno de Dorsey que se administró a través de un intercambio de SIM, lo que significa que un usuario encontró una manera de imitar el número de teléfono de la cuenta y tuitear a través de mensajes de texto. Siguiendo la serie de incidentes, Twitter cerró la brecha al suspender la capacidad de tuitear por mensaje de texto. Las cuentas oficiales de Twitter de más de una docena de equipos de la NFL fueron pirateadas a principios de este año, justo antes del Super Bowl.
El hackeo de Twitter no tiene nada que ver con la seguridad de Bitcoin y sí mucho con la debil seguridad de Twitter
Pavol Luptak -cofundador de la Crypto comunidad Paralelni Polis y del Congreso de Hackers en Praga (HCPP)- le dijo a Cointelegraph que el hackeo de Twitter y la posibilidad de que la red de Bitcoin se vea comprometida no tienen ninguna conexión:
“Es un hackeo de Twitter, no de Bitcoin. Bitcoin fue solo una forma de estafar a la gente para pedirles dinero. Por supuesto, puede ser un problema de reputación para Bitcoin (espero que algunos criptoexchanges comiencen a poner en la lista negra estos Bitcoins robados). Pero es principalmente un gran problema de reputación para Twitter, ya que no es capaz de proteger las cuentas de sus usuarios”.
Como Luptak señaló, Bitcoin fue solo un medio de transferencia de valor con el que los hackers engañaron a sus víctimas. De hecho, como algunos miembros de la comunidad señalaron en el hilo de Twitter, la decisión del estafador de usar Bitcoin probablemente fue motivada por la incapacidad de las autoridades de censurar y revertir las transacciones del mismo.
Si bien el alcance del incidente fue enorme, podría ser simplemente la punta del iceberg con vastas implicaciones de seguridad. Los expertos en seguridad cibernética y los formuladores de políticas ahora temen que la estafa utilizando como señuelo al bitcoin pueda enmascarar una violación de datos mucho más preocupante que involucra las comunicaciones personales de las personas más poderosas del mundo.
Por último, es conveniente prestar atención a la recomendación del hacker ético, Pavol Luptak, que le hace a Cointelegraph:
“Estén atentos a las estafas de ingeniería social, y por supuesto, [tengan en cuenta que] nadie les da nada gratis.”
Si desean conocer más sobre cómo el hacking ético ayuda a prevenir las vulnerabilidades de su empresa, no dude en contactarnos. Incluso nos puede solicitar sesiones exclusivas con el Ethical Hacker de referencia en las noticias globales de este artículo.
1 Comment