«Me lo contó un pajarito», los detalles detrás del ataque a Twitter 🐣😱

Por: | 20 de julio de 2020

Más de $120,000.00 dólares cobro el ataque a la red social afectando a 396 victimas. Engañados con la «estafa de regalo» en el ataque a Twitter.

Estos son los detalles detrás del ataque más grande hasta la fecha a la red social Twitter. Un hackeo sin precedentes que comprometió las cuentas de figuras publicas y empresas como: Bill Gates, Obama, Elon Musk, Apple y muchos más

Bitcoins duplicados

Poco más de $120,000.00 dólares cobro el ataque a la red social afectando a 396 victimas. Engañados con la «estafa de regalo»; un timo común en redes sociales. El engaño consiste en alentar a los usuarios a enviar Bitcoin a una cuenta con la promesa de recibir el doble de vuelta. A menudo se hace con el pretexto de querer retribuir a una comunidad o seguidores, como fue el caso en el ataque del miércoles. Pero, en cambio, el estafador se lleva el dinero.

Twitt_Elon_Musk_bitcoins_ataque_twitter
Tuit de hackers en cuenta de Musk

Te puede interesar: Tik Tok una bomba de tiempo

Expertos aseguran que el ataque pudo verse mitigado debido a que no es un nuevo tipo de estafa. Seguidores de Elon Musk y otras figuras involucradas pueden estar acostumbrados a ver tales ofertas tuiteadas en las respuestas a los tuits de esas celebridades.

tuits_de_estafa_de_regalo_twitter
Tuits de estafa en cuentas oficiales

Por lo general los estafadores llevan a cabo estos ataques comúnmente haciendo una cuenta de Twitter duplicada casi idéntica al perfil de una persona famosa. Usan la misma imagen, mismo nombre, y ajustes difíciles de detectar en el identificador, y respondiendo a uno de los tuits de esa persona famosa con la oferta, haciendo que parezca que fue la persona famosa que la dijo.

Twitter cae desde dentro

Sin embargo esta vez el ataque se realizo desde las cuentas oficiales verificadas por la red social. Tal hazaña solo pudo ser lograda debido a que se pudo burlar el proceso de doble verificación .

Puede interesarte: ¿Qué esta pasando con el Internet en México?

Como posteriormente confirmo la propia plataforma, todo parecía indicar que el ataque se había producido en Twitter y no comprometiendo las cuentas una a una o comprometiendo una herramienta de publicación de terceros. Dado que Twitter muestra de forma automática desde qué plataforma se han enviado los tweets, se puede comprobar que en todos los casos de este ataque vienen de la propia web de Twitter, por lo que no se ha utilizado una herramienta externa.

La compañía afirmó que sus sistemas internos fueron comprometidos por piratas informáticos, en un ataque que no podría haberse llevado a cabo sin acceso a las herramientas de la empresa y los privilegios de empleados. Por ello aseguran haber sufrido un ataque coordinado de ingeniería social.

«Hemos detectado lo que creemos que es un ataque coordinado de ingeniería social llevado a cabo por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internas», ha indicado la compañía a través de su cuenta en la red social. «Sabemos que utilizaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre», ha añadido.

La respuesta de Twitter

Ante el ataque la compañía limito de forma temporal las funciones de varias cuentas, así como todas las cuentas verificadas, incluyendo a cuentas que no parecían haber estado comprometidas. De igual forma, Twitter ha bloqueado las cuentas afectadas e indico que restaurará el acceso a sus propietarios «solo cuando estemos seguros de que podemos hacerlo de forma segura».

Twitter también subrayó que internamente ha tomado medidas importantes para limitar el acceso a los sistemas y herramientas internas, mientras continúa investigando el ataque.

Implicaciones peligrosas en el futuro

Twitter se ha caracterizado por ser una de las redes sociales con mayor influencia entre los usuarios de Internet, misma que traspasa fronteras y la censura local divulgando protestas como Black lives matter o Me too. Ello obliga a pensar en los posibles escenarios al verse comprometidas cuentas de políticos o figuras publicas divulgando Fake news que podrían incitar al caos social

Lee también: El secreto de las producciones cinematográficas

Basta con pensar que sucedería si alguien se hace con el control de una o varias cuentas gubernamentales que difundan mensajes falsos, por ejemplo sobre catástrofes naturales. Esto podría crear una situación de riesgo. Numerosos servicios de mensajería, como WhatsApp, disponen de un sistema de encriptado de extremo a extremo que impide a la propia empresa saber qué información intercambian sus usuarios. Twitter, como demuestra este caso, no funciona así.

Un empleado, o un atacante, puede acceder a la información de cada usuario e incluso suplantarlo. Pero lo que puede ser válido para un sistema de mensajería no tiene porque serlo para una red social, pues en ella se transmiten mensajes públicos. Que requieren de un control por parte de los empleados de Twitter en el caso de que se violen las normas de uso.

¿Pudo haberse evitado?

Si bien en los primeros momentos hubo dudas, es evidente que el ataque saltó las medidas de seguridad de dicha red social al atacar directamente a ésta. Es decir, por mucho que las personas afectadas hubiesen activado la verificación a dos pasos y contaran contraseñas seguras, no pudieron hacer nada.

Tweet_Obama_ataque_a_twitter

Entonces, ¿podría haberse evitado? Prepararse para un ataque así es en extremos difícil, ya que no depende de la estructura de seguridad de la plataforma sino de las personas que trabajan en ella. Victimas de pishing o ingeniería social para obtener sus contraseñas. En este sentido, lo mejor es desconfiar siempre de remitentes desconocidos y no compartir datos personales.

Independientemente de cuál fue la llave que se utilizó para abrir la puerta, la casa ha quedado destrozada. El ataque es, sin duda, el más importante que ha sufrido Twitter y posiblemente el peor al que se ha enfrentado una red social.

A esto hay que unir que la respuesta de la compañía no fue la más rápida, posiblemente porque tardó en sospechar que sus propias herramientas fuesen las causantes. Informó de un problema, pero tardó horas en tomar medidas más drásticas y se limitaba a borrar los mensajes. Así, la cuenta de Elon Musk pudo tuitear hasta tres veces sin que Twitter consiguiese ponerse al volante.

Twitt_Joe Biden_ataque_twitter

Además, los perfiles atacados eran muy relevantes Joe Biden, no lo olvidemos, es candidato a las elecciones estadounidenses y fue vicepresidente de un Barack Obama que también se vio afectado. La cuenta de Donald Trump no fue secuestrada, pero, de haberlo sido, podría haber tuiteado una declaración de guerra del mismo modo que Jeff Bezos ‘regaló’ bitcoins.

Aunque una posible solución es limitar la cantidad de empleados con acceso a las cuentas más influyentes, así como incrementar las herramientas de control y encriptado.

Pérdida de control

Más allá de la potencial pérdida de confianza, Twitter también podría enfrentar demandas legales.

Esto debido a que no es el primer ataque que sufre aunque si el que mayor repercusión ha tenido. El ente regulador de protección de datos de la Unión Europea indica que organizaciones como Twitter tienen que demostrar niveles «apropiados» de seguridad.

Puede interesarte: Tips para comprar seguro en Internet

Y si los reguladores de protección de datos juzgan que Twitter falló a la hora de tomar medidas adecuadas para proteger a los usuarios europeos podrían multar a la empresa

A comienzos de este año, el director ejecutivo de la compañía, Jack Dorsey, perdió el control de su cuenta durante 20 minutos.

Y en 2010, Twitter acordó un pago con la Comisión Federal de Comercio de EE.UU. después de que se alegó que hackers habían logrado obtener ilegalmente el control administrativo -incluyendo la habilidad de enviar tuits falsos- de la cuenta del entonces presidente Barack Obama y del canal noticioso Fox News

Sin duda la información cada día es más valiosa y resguardar datos es esencial, recuerda que en Motion Agencia Digital podemos desarrollar tu sitio web con medidas de seguridad eficientes para proteger tus datos y los de tus clientes.

¿Cuéntanos que opinas, tú ya usas la doble verificación en tus redes sociales?

Con información de: BBC, CNN

¿Te gusto el contenido? Compártelo:

Etiquetas: ,