El hackeo a Twitter continúa dando de qué hablar
Imagen: El hackeo a Twitter continúa dando de qué hablar (Fuente: Cyber Security 360)

A más de un mes del hackeo a Twitter, analizamos dónde se encuentra hoy la red social y en qué han resultado las investigaciones del caso.

Twitter no es una red ajena a la controversia. De hecho, es el centro de polémicas por causas tan dispares como complejas. Cuando no es por su modelo de negocios, lo es por problemas de privacidad; por cambios constantes en su experiencia del usuario (UX); su uso como portavoz semi-oficial del Presidente de Estados Unidos y más.

Sin embargo, el hackeo a Twitter acontecido hace un mes y medio fue particularmente revulsivo. No por nada fue catalogado como el comprometimiento de datos más grande en la historia de la red social fundada por Jack Dorsey.

A continuación, los invitamos a analizar punto por punto este complejo incidente y sus implicancias.

Todo cambió cuando el hackeo masivo atacó

El miércoles 15 de Julio, un hackeo masivo afectó unas 130 cuentas de Twitter. Las víctimas fueron tan dispares como poderosas. Entre ellas estuvieron Barack Obama, Bill Gates, Elon Musk, entre otros.

Imagen: captura del hackeo a Elon Musk (Fuente: Twitter de Pantheon Books)

Con total acceso a las cuentas, los atacantes procedieron a ejecutar un plan tan osado como destructivo: estafas menores de Bitcoins. Los culpables se hacían pasar por los dueños de las cuentas comprometidas e invitaban a sus seguidores a compartir sus números de cuenta en dicha divisa electrónica.

La excusa que alegaron para concretar la estafa era que los referentes “se sentían generosos” y deseaban donar criptomonedas. Un poco sospechoso a primer golpe de vista, ¿no lo creen?

Meme del Doctor Malito
Imagen: El Doctor Malito cuando dijo la célebre frase “One million dollars” (Fuente: Meme Creator)

La masividad y duración real del ataque son hasta el día de hoy desconocidas. Twitter optó por el hemretismo y a la larga eso le pasó factura. Lo más preocupante del hecho fue que los atacantes recuperaban las cuentas a medida que estas les eran arrebatadas. Además, cambiaban los mails asociados a ellas para dificultar su recuperación.

El problema contrinuó creciendo, hasta que la red del pajarito optó por suspender la capacidad de tuitear o responder en diversas cuentas verificadas. Con ello, fueron capaces de limitar el accionar de los hackers y así contener el ataque. Por su parte, las funciones de retuit, los mensajes directos y las cuentas sin verificar no se vieron afectadas por la medida.

En total, los atacantes recaudaron más de 120.000 dólares en bitcoins. Sumado a ello, también se hicieron con una serie de cuentas con nombres de usuarios cortos. Esta clase de perfiles, al parecer, son especialmente valorados en un foro de hackers de nombre OGUsers.

Donald Trump: la anécdota del caso

Lo más curioso del ataque fue que Donald Trump, el principal influencer de la red social, no se vio afectado. Twitter justificó esa peculiaridad asegurando que la cuenta del presidente de los EEUU posee mecanismos de seguridad más robustos.

Al parecer, es el perfil más atacados a diario en la plataforma debido a la polémica que lo rodea. Por eso, y porque hablamos de una de las personas más influyentes del mundo, tiene sentido que merezca consideraciones especiales.

El hackeo analizado paso por paso

Como suele suceder, los métodos para vulnerar los sistemas de defensa no fueron realizados por arte de magia. Acorde con las investigaciones de seguridad aplicadas durante el procedimiento, todo se redujo a dos tácticas: la recopilación de información y la ingeniería social.

El hackeo a Twitter a través de la película "Hackers" (1995)
Imagen: El elenco de “Hackers”, la película de 1995 dirigida por Iain Softley (Fuente: Hack the Planet)
Paso 1: conoce a tu víctima

Todo comenzó con un scraping a través de LinkedIn, cuyo fin era identificar a ciertos empleados de Twitter. Su target eran aquellos que, según las sospechas de los hackers, podían tener acceso privilegiado a ciertas herramientas administrativas internas de la red social.

El siguiente paso consistió en utilizar las herramientas de reclutamiento de LinkedIn para obtener los celulares que deseaban. Tras hacerse con estos y otros datos personales de relevancia, apelaron a la Ingeniería Social para edificar su estafa.

Paso 2: detecta las debilidades

Aprovechándose de la coyuntura que vive el mundo, los perpetradores detectaron algunas vulnerabilidades fatales. Debido al aislamiento provocado por el coronavirus, que ha conllevado trabajar desde el hogar, Twitter tuvo que improvisar en sus políticas de seguridad.

Un claro ejemplo de ello fue el uso de mecanismos sofisticados como el reconocimiento de retina. No poder escalarlo al no tener centralizado el flujo de trabajo, conllevó fisuras en el procedimiento. Y cuando esto pasa, siempre hay amenazas merodeando para dar el golpe, tal y como sucedió.

Paso 3: ejecuta el engaño

El siguiente paso fue dirigir a los empleados a una página falsa. Esta imitaba a la perfección la VPN interna de Twitter en la que ingresan sus credenciales. Habiendo copiado la estética del sitio de logueo, los empleados no sospecharon que estaban siendo engañados.

Como consecuencia, cuando completaron sus datos en realidad se los estaban otorgando abiertamente a los hackers. Una vez adquirida la información sensible, estos últimos los ingresaron en la VPN real y tuvieron acceso total a la plataforma.

Si quieres saber más sobre los pasos que conllevó el hackeo, ingresa aquí.

¿Quiénes estuvieron detrás del hackeo a Twitter?

Dos días después del ataque, las autoridades federales estadounidenses acusaron formalmente a tres personas por el hackeo a Twitter. Una de ellas es un menor de 17 años del Reino Unido, señalado como la mente maestra que lideró la operación. vaya que estos niños crecen rápido…

Los investigadores federales fueron capaces de rastrear a los criminales utilizando una base de datos del foro OGUsers. Esta lista había sido filtrada previamente por un grupo de hackers rivales.

Contar con esos datos le permitió a las autoridades rastrear distintos mensajes y su cronología. Con ello, descubrieron que el plan se venía gestando desde principios de febrero.

Durante ese tiempo, los involucrados habían establecido una intrincada estrategia. Esta incluía redes de pedidos, acciones, pagos y nombres de usuarios que fueron dando forma al elaborado plan. Del mismo modo, esa cronología también ayudó a las autoridades a rastrear a los involucrados.

Dado que la mente detrás de este delito fue un menor edad, la acusación formal se hizo en la ciudad de Tampa. El estado de Florida permite juzgar a menores de edad como adultos en casos como estos. En consecuencia, se espera que al joven le caiga encima todo el peso de la ley.

Si tenemos en cuenta que The Sunshine State no se toma a la ligera los crímenes internacionales, el chico puede tener graves problemas. Florida es un estado con fuertes políticas criminales aplicadas para combatir eficazmente el narcotráfico. Por ende, la pena de muerte siempre aparece como posible opción.

El resultado final está por verse, pero creo que podemos considerarnos afortunados. Con el alcance e influencia de las cuentas afectadas, el hackeo a Twitter podría haber tenido consecuencias mucho más graves.

¿Por qué estos hackeos deberían importarnos?

A más de un mes del hecho, es esperable que algunos se pregunten si vale la pena seguirlo discutiendo. Quizás, hasta se cuestiona si esto tiene alguna consecuencia real para nosotros. A decir verdad parecen hechos muy alejados de nuestra vida cotidiana. El asunto es que nadie está exento de que le suceda.

Un claro ejemplo de ello fue el de Abdulrahman al-Sadhan, un disidente saudí desaparecido por el régimen de ese país en 2018. Para entender cómo se conectan ambos hechos, debemos remonatrnos al 2015. Por entonces, dos empleados de Twitter causaron una brecha de seguridad intencionada en la red social.

El gobierno saudí rápidamente aprovechó esa vulnerabilidad y desenmascaró más de 6000 cuentas anónimas que lo criticaban. Si bien los empleados fueron despedidos y encarcelados como corresponde, el daño ya estaba hecho.

Tres años después del incidente, la policía secreta de Arabia Saudita secuestró a al-Sadhan cuando se encontraba trabajando. Desde entonces, poco se ha sabido de él y al menos otras cuatro personas también involucradas.

Imagen: El reclamo de justicia por Abdulrahman al-Sadhan continúa en pie (Fuente: Twitter de Advocating for Human Rights)

En ambos casos, personas que formaban parte del personal de Twitter estuvieron involucradas. Cada caso es diferente y tiene sus respectivas particularidades que los hace únicos, está claro. No obstante, y aunque sea por ingeniería social o trabajo interno, las consecuencias son cuanto menos comparables.

No tener seguridad en la protección de los datos privados puede ser perjudicial para cualquiera de nosotros. Mucho más aún si detrás existen personas sin escrúpulos o un gobierno empeñado en acallar disidencias.

Superadas las barreras protectoras supuestamente sólidas, ya no existe nada que se interponga para garantizarnos nuestra seguridad.

Y lo peor de todo, es que parece ser alamramentemente fácil de concretar.

Acerca del Autor

Gabriel Goldsztajn

Negador en serie. Fanático de los tecnicismos. Aficionado al retro-gaming y sufridor compulsivo de diógenes digital.

Ver Artículos