Un hackeo sin precedentes expone la fragilidad de Twitter
Docenas de cuentas de figuras como Elon Musk, Barack Obama, Jeff Bezos o Bill Gates fueron comprometidas y tuitearon una estafa con bitcoin. El alcance exacto del ataque sigue siendo un misterio
Todo empezó hacia las 10 de la noche, hora europea, media tarde en América. Las cuentas de la red social Twitter de figuras como Elon Musk, Bill Gates, Joe Biden o de empresas como Apple, Uber u otras vinculadas a la gestión de bitcoin, empezaron a lanzar mensajes similares: “Todo el mundo me pide que devuelva, y ahora es el momento. Doblaré todos los pagos enviados a mi dirección bitcoin durante los próximos 30 minutos. Envías 1.000 dólares, te devuelvo 2.000″, escribía supuestamente, por ejemplo, Bill Gates.
La estafa incluía diversos motivos para “devolver” dinero: covid-19, agradeci...
Todo empezó hacia las 10 de la noche, hora europea, media tarde en América. Las cuentas de la red social Twitter de figuras como Elon Musk, Bill Gates, Joe Biden o de empresas como Apple, Uber u otras vinculadas a la gestión de bitcoin, empezaron a lanzar mensajes similares: “Todo el mundo me pide que devuelva, y ahora es el momento. Doblaré todos los pagos enviados a mi dirección bitcoin durante los próximos 30 minutos. Envías 1.000 dólares, te devuelvo 2.000″, escribía supuestamente, por ejemplo, Bill Gates.
La estafa incluía diversos motivos para “devolver” dinero: covid-19, agradecimiento o porque era un buen día. La suma de los seguidores de todas esas cuentas suponían cientos de millones de usuarios. La cuenta pública de la dirección bitcoin de los atacantes creció aparentemente poco, alrededor de unos 100.000 dólares. Poca gente cayó en un timo tan burdo. Pero las preguntas sobre el modo de acceso, el alcance exacto del hackeo y la fragilidad de un sistema que capta la atención de millones de ciudadanos de todo el mundo en un instante, siguen sin responderse horas después de la acción.
La respuesta inicial de Twitter fue demoledora. Además de borrar rápido los mensajes, aunque alguna cuenta tuiteó más de una vez el timo, Twitter suspendió la capacidad de lanzar mensajes de todas sus cuentas verificadas. Durante cerca de dos horas, en Twitter no pudo tuitear ninguna gran cuenta de organización, medios o celebridad. También se vieron afectadas cuentas de usuarios sin verificar.
Esta madrugada Twitter ha dado algún detalle sobre cómo los atacantes lograron entrar a esas cuentas. No fue una a una a través de sus contraseñas, sino que tuvieron acceso al panel de control de la red social después de haber engañado a empleados con un ataque de ingeniería social, no con una extrema pericia técnica. “Acceder desde fuera es de gran complejidad técnica y diría poco en favor de la gestión y protección de Twitter”, dice Sergio de los Santos, director de innovación en ElevenPaths, unidad de ciberseguridad de Telefónica, para quien la pregunta ahora está en cómo han llegado a engañar a un empleado de Twitter: “Podrían haber sobornado, comprado, atacado a una persona con acceso. Lo interesante sería cómo. Si de verdad simplemente han pagado por ello o bien han realizado un ataque técnico a esa persona, por ejemplo controlando un ordenador desde el que usara esos paneles. Y esto a su vez se consigue quizás enviándole con ingeniería social algún correo y utilizar algún ataque técnico”, añade.
El primer gran reto de la investigación de Twitter es saber el alcance preciso del acceso. Sería extraño que todo lo que hace un pirata que de repente puede husmear y tuitear dentro una red como Twitter sea lanzar una estafa tan obvia. Los mensajes pudieron ser una tapadera o una cortina de humo para rastrear los mensajes directos de todas esas cuentas o lograr otro tipo de información interna de miles de perfiles. Cuentas que no tuitearon el timo pudieron también verse afectadas.
“Habrá que analizar todos los accesos que ha habido a la app en cada uno de los diferentes usuarios”, dice Selva Orejón, CEO de onBRANDING. “No hace ni un año, varios usuarios reportaron a Twitter que se podía añadir y quitar seguidores mediante una vulnerabilidad. El hecho de haber conseguido el dinero, además, puede haber sido una forma de autoadularse desde su ego o buscar ‘reconocimiento’ del éxito de cara a afuera”, añade.
El hackeo esconde otras preguntas igual de importantes. ¿Qué hubiera ocurrido si en lugar de una estafa las cuentas se hubieran puesto a hablar de guerras y amenazas, o si el día escogido hubiera sido una jornada electoral?
No es tampoco la primera vez que empleados de Twitter usan su acceso -a sabiendas o no- para afectar el comportamiento de la red. La cuenta del presidente Donald Trump desapareció brevemente de la red y dos ex trabajadores espiaban desde dentro para Arabia Saudí. La misma seguridad de Twitter había dependido de factores incomprensibles: hace una década, la contraseña que encerraba paneles de control era la simple palabra happiness, que entonces y hoy es un desastroso descuido en seguridad. Errores en el código o en las herramientas internas de acceso pueden arrastrarse hasta que alguien las explota. Se da además la curiosidad añadida que este miércoles se cumplieron 14 años de la fecha de lanzamiento de Twitter, el 15 de julio de 2006.
Conversaciones en foros de la aplicación de chateo Discord debatían y acusaban a miembros de haber logrado, vendido o comerciado con el acceso a Twitter antes incluso de que fuera público el problema que había sufrido la red: “No compréis nada en Twitter por ahora. El panel interno de los empleados fue hackeado y alguien tiene acceso a cualquier cuenta. Veréis muchas estafas, no piquéis”, decía un usuario un par de horas después del inicio de la acción.
Capturas de pantalla del panel que la red usa para controlar las cuentas empezaron a circular por redes. Twitter suprimió algunas de las cuentas que se dedicaban a colgarlas. Empezaron incluso a circular teorías sobre qué exactamente ese panel permitía hacer con las cuentas de los usuarios a la hora de promover o no su exposición. Es difícil establecer si esas capturas habían sido retocadas o no.
Jack Dorsey, cofundador de Twitter y actual CEO, admitió esta madrugada la dureza de lo ocurrido. Anunció que la investigación sigue abierta. Está por ver el nivel de transparencia y profundidad que la red es capaz de compartir.
Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.