"Un trabajador de Twitter hizo todo por nosotros", explican a Motheboard fuentes cercanas al ataque. Horas después de sufrir el mayor hackeo de su historia, Twitter empieza a esclarecer los hechos. ¿Cómo lograron los hackers romper hasta la autenticación de doble factor y publicar una estafa desde cuentas como las de Bill Gates, Barack Obama o Apple? Esto es lo que se sabe sobre el hackeo a Twitter y cómo lograron los atacantes apoderarse de las herramientas de administración de la red social.
Desde la cuenta de Twitter Support, la propia empresa confirmaba las sospechas: "Hemos detectado lo que creemos que es un ataque coordinado de ingeniería social dirigido con éxito contra algunos de nuestros empleados con acceso a los sistemas y las herramientas internas".
A través de un panel de administración de la propia Twitter
Una fuente interna de Twitter fue responsable del ataque simultáneo. Según explica Vice, los atacantes pagaron y convencieron a un empleado de Twitter para secuestras las cuentas verificadas. La cuenta de este empleado disponía de acceso a un panel interno de administración, con permisos sobre las cuentas que fueron comprometidas.
Sobre este panel interno de administración han aparecido varias capturas de pantalla. Según explican las fuentes cercanas al ataque, el panel interno de Twitter se utilizó para facilitar el acceso a las cuentas verificadas y poder difundir la estafa con el mensaje de los Bitcoins.
En la imagen del panel se aprecia como se describe el estado de la cuenta, así como detalles sobre cuándo fue creada. Tenemos etiquetas en distintos colores que señalan si una cuenta está activa, si tiene los permisos suspendidos, si está protegida, si forma parte de la lista negra de tendencias, si es solo de lectura o si está en la lista negra del buscador.
Otra de las imágenes filtradas es el panel de la cuenta de Binance, empresa relacionada con el Bitcoin y afectada por la estafa. Se desconoce si se utilizó este panel para publicar directamente o de otra manera. Según describe Motherboard, al menos algunas de las cuentas parecen haber sido comprometidas cambiando el correo electrónico asociado a ellas mediante la herramienta de administración.
Para frenar el ataque, algunas de las decisiones que tomó Twitter fueron congelar las cuentas comprometidas, borrar los tweets relacionados, congelar la publicación de tweets para las cuentas verificadas y bloquear el recuperar la contraseña.
Según explican otras fuentes a Motherboard, este panel de Twitter también se utilizó para cambiar configuraciones sobre cuentas 'OG', que se caracterizan por constar únicamente de uno o dos caracteres.
Durante las últimas horas han aparecido capturas de pantalla en Twitter sobre el panel de administración, pero la propia plataforma las está eliminando tras informar que no cumplen con la política de uso de la red social.
Más de 100.000 dólares estafados en unas horas
El hackeo a Twitter ha activado las alertas de algunos políticos estadounidenses. Es el caso del senador republicano Josh Hawley, quien ha enviado una carta a Jack Dorsey, CEO de Twitter, preguntando por más detalles y si la cuenta del presidente Donald Trump también se había visto comprometida. Y es que pese a que el foco se encuentra en el Bitcoin, se desconoce el alcance real de este hackeo.
El propio Jack Dorsey ha publicado un tuit en respuesta, explicando que es un "día duro" y que se sienten "horrible por lo que ha pasado". "Estamos diagnosticando y compartiremos todo lo que podamos cuando tengamos una comprensión más completa de lo que sucedió exactamente", ha concluido.
Tough day for us at Twitter. We all feel terrible this happened.
— jack (@jack) July 16, 2020
We’re diagnosing and will share everything we can when we have a more complete understanding of exactly what happened.
💙 to our teammates working hard to make this right.
"Me siento generoso por el COVID-19. Duplicaré todos los pagos que me enviéis a mi cuenta BTC durante la siguiente hora. Buena suerte y manteneos seguros", explicaba el tuit de Elon Musk. "Envía 1.000$ y yo te envío 2.000$", mostraba el de Bill Gates. Según refleja la cuenta de Bitcoin utilizada, los atacantes habrían estafado más de 100.000 dólares en unas horas en un total de 376 transacciones y 12,87 BTC.
Las cuentas de Bitcoin apuntaban inicialmente a CryptoForHealth. Un dominio que según Coin Telegraph fue registrado el mismo día. Actualmente el sitio ha sido catalogado como 'Phishing' y ha sido bloqueado.
No es la primera vez
El principal fallo de seguridad ha sido el factor humano. No es la primera vez que los empleados de una gran empresa tecnológica provocan altercados. En 2017, un empleado de Twitter decidió desactivar la cuenta de Twitter del presidente de los EE.UU Donald Trump. Durante 11 minutos la cuenta fue desactivada.
A little over ten years ago: Twitter settled with the FTC as a result of an internal tools breach. Their internal tooling was available directly over the web and accessed through an employee account protected by the password "happiness"https://t.co/rOQgTONhQp
— Ryan McGeehan (@Magoo) July 15, 2020
En 2018, a raíz del asesinato de Jamal Khashoggi, se sospechó que Arabia Saudí había entrenado a un empleado de Twitter para introducirlo como topo en la compañía. Según la información, el trabajador fue escalando posiciones hasta un puesto de ingeniero donde tenía acceso a información personal de los usuarios, incluyendo su actividad en Twitter, número de teléfono y direcciones IP.
Desde Xataka hemos recomendado el uso de la autenticación de dos pasos y el uso de tokens de seguridad, pero en este tipo de hackeos no es el usuario quien puede protegerse, sino la propia plataforma. Habrá que esperar para conocer, si es que así lo deciden, qué medidas de seguridad internas implementa Twitter para aumentar la seguridad de su plataforma. Una red social donde un solo tuit puede tener un gran impacto.
En Xataka | Cómo cambiar la contraseña de Twitter y otras medidas para proteger tu cuenta
Ver 14 comentarios