Los hechos

Este miércoles 15 de julio, las cuentas verificadas de Twitter de prominentes figuras millonarias de la política, la tecnología y el espectáculo fueron hackeadas. Entre las cuentas atacadas estaban las siguientes:

--Barack Obama

--Jeff Bezos

--Joe Biden

--Elon Musk

--Bill Gates

--Apple

--Uber

--Kanye West

--Warren Buffett

--Michael Bloomberg

--Wiz Khalifa

--Floyd Mayweather Jr.

Vulnerando todos los mecanismos de seguridad que la red social californiana pueda tener, los atacantes publicaron contenido a través de estas cuentas, haciéndose pasar por los perfiles personales de las figuras atacadas.

Todas estas cuentas estaban verificadas. O sea, aquellas en las que Twitter ha verificado que la persona que maneja el perfil es quien dice ser; es un agregado internacional de seguridad que provee la red social.

El mensaje

Palabras más, palabras menos, el mensaje enviado por cada cuenta era siempre parecido:

Cada cuenta anunció que por la crisis de la pandemia, iba a retribuir o ayudar a su comunidad a través de Bitcoins, la criptomoneda más conocida. El mensaje ponía una dirección web de una cuenta de Bitcoins, y pedía que enviaran Bitcoins allí para luego duplicarlos a quien los enviara.

Este fue el mensaje de la cuenta de Obama:

“¡Retribuiré a mi comunidad por la covid-19! Todos los Bitcoins enviados a la dirección de abajo serán enviados de regreso duplicados. Si envías $1.000, te reenviaré $2.000. ¡Solo haré esto por los próximos 30 minutos!. Disfruten”.

Y este el de la cuenta de Apple:

“Retribuiremos a nuestra comunidad. Tenemos Bitcoins y creemos que ustedes también deberían. ¡Todos los Bitcoins enviados a nuestra dirección de abajo serán enviados de vuelta duplicados!”

Los tuits duraron apenas unos minutos. Fueron eliminados poco tiempo después de publicados, pero los pantallazos quedaron. Y en esos pocos minutos algunas personas enviaron (y perdieron) sus Bitcoins. En julio de 2020, cada Bitcoin vale poco más de $9.000. Todas las cuentas de Bitcoin difundidas eran la misma. Y según el registro público de esa cuenta en Blockchain.com, la misma dispone de aproximadamente $120.000 en Bitcoins.

La cuenta tiene esta dirección: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh

En la cuenta se han hecho 392 transacciones según los registros. No quiere decir específicamente que casi 400 personas cayeron en la estafa, pues una misma persona puede hacer diversos giros.

Debido al hackeo, Twitter tomó una medida sin precedentes: suspender la publicación de mensajes de todas las cuentas verificadas mientras investigaba lo ocurrido.

Ojo: ataques similares o estafas que involucran Bitcoins fueron realizados en Costa Rica, como el caso de una página que usó el logo de La Nación y la figura de Daniel Salas, ministro de Salud, para realizar su golpe.

La respuesta de Twitter

Horas después del ataque, el director ejecutivo de Twitter, Jack Dorsey, escribió en su cuenta:

“Es un día duro para nosotros en Twitter. Nos sentimos terribles por esto. Estamos diagnosticando y compartiremos todo lo que podamos cuando tengamos un mayor entendimiento de qué pasó exactamente”.

Más tarde, este miércoles 15 de julio, Twitter aseguró que estaba llevando a cabo una investigación y que la compañía había sido víctima de “un ataque coordinado” dirigido a cuentas de empleados “con acceso a sistemas y herramientas internas”.

Luego escribió: “Esto fue perjudicial, aunque también fue un paso importante para reducir el riesgo. La mayor parte de la funcionalidad se ha restaurado, pero podemos tomar más medidas y te actualizaremos si lo hacemos”.

En paralelo con la investigación de Twitter, varias pesquisas están activas en simultáneo para determinar qué ocurrió. Incluida una del FBI. Debido a esto, y a la imposibilidad de garantizarle a los dueños de las cuentas afectadas en Twitter, la red social no les ha devuelto el acceso a varios de los afectados, aunque este 17 de julio sí se comenzaron a ver tuits desde dichos perfiles.

Este es el último tuit oficial de la red social:

Prometen dar información en cuanto la tengan, pero siguen investigando y trabajando en ello.

La identidad de los atacantes

La tarde de este viernes 17 de julio, el New York Times publicó un artículo sobre el origen aparente del ataque: según el periódico, habría comenzado el martes por una conversación en Discord (una plataforma digital de conversasiones tipo Reddit) entre un usuario llamado “Kirk” y otro llamado “Lol”.

De acuerdo con el Times, cuatro personas ascociadas con el ataque compartieron pantallazos de conversaciones que sostuvieron entre el martes 14 y el miérocles 15 de julio con el diario.

El periódico estadounidense infiere que no se trata de un ataque de una nación o un sofisticado grupo de hackers, sino de unos cuantos jóvenes. “Uno de los cuales vive con su madre”, escribe el Times.

El New York Times garantiza haber comprobado que la identidad de las cuatro personas que los contactaron están ligadas a las cuentas de Bitcoins relacionadas con el ataque del miércoles (cuentas vinculadas con la principal mencionada anteriormente aquí).

La cuenta llamada “Kirk” en Discord, sería a la vez trabajador de Twitter, y fue la encargada de redirigir el dinero en Bitcoins enviado a la cuenta de la estafa hacia otras direcciones. La identidad de “Kirk” sigue siendo un misterio, afirma el Times.

Un investigador en ciberseguridad llamado Haseeb Awan, de California, habría puesto en contacto a los atacantes con el periódico.

El análisis

César Bravo, máster en ciberseguridad costarricense e inventor líder del Comité Latinoamericano de Patentes, nos ayuda a comprender por puntos lo que este ataque representa y destaca algunas teorías.

1-- Colaboración entre hackers y trabajadores de Twitter

Hasta donde sabemos, para poder enviar tuits a través de cuentas personales de figuras y compañías verificadas desde otros dispositivos, se tuvo que contar con la ayuda de personas internas, que trabajan o saben cómo ingresar en paneles de control de Twitter.

Para Bravo, esto quiere decir que los atacantes tendrían que conocer la estructura interna de Twitter para saber cómo funciona la separación de funciones (quién hace qué y quién aprueba qué). “Para que esto fuera posible, tuvo que haber ‘gato casero’”, apunta el experto.

2-- Serio problema en la seguridad de Twitter

“Algunas personas mencionan que el acceso al panel de administración de Twitter era accesible desde internet en vez de estar protegido dentro de una intranet (donde solo los empleados conectados a la red interna de la empresa podrían tener acceso). De ser así, esto sería un gravísimo riesgo de seguridad, ya que quita una capa de seguridad que pudo haber prevenido el ataque (o al menos hacerlo más complicado)”, dice César Bravo.

Además, Bravo nota que Twitter no cuenta con un mecanismo de control extra para cuentas verificadas que rastree patrones sospechosos basada en inteligencia artificial. Porque cada cuenta vulnerada puso básicamente lo mismo:

--El mensaje pidiendo y ofreciendo dinero

--El dinero en Bitcoins

--Un sentido de urgencia (30 minutos y una hora)

--Todos con la misma cuenta de Bitcoin

Aunque hace la salvedad de que quizás haya este tipo de inteligencia artificial, pero si había ayuda interna, se podían apagar las alertas.

“Dependiendo del nivel de acceso que tuvieran los atacantes, es posible que ellos mismos pudieran borrar esas alertas, pero a este punto, sin tener más detalles de parte de Twitter, es especulación”, añade César Bravo.

Pudo ser peor

Como bien sabemos, Twitter es vital en la comunicación política mundial. Presidentes como Donald Trump viven todo el día consultando su muro de la red social y distribuyendo mensajes. Presidentes como Nayib Bukele, de El Salvador, dan órdenes a través de Twitter. ¿Qué tal si el hackeo hubiese contemplado la orden de acciones que hagan daño?, se pregunta César Bravo, experto en ciberseguridad.

“Este ataque pudo provocar un incidente político grave entre naciones, por ejemplo si se hubiese usado la cuenta de Trump para amenazar a otro país ‘enemigo’ de Estados Unidos.... ¿Se disculparía Trump por lo sucedido? ¿Y cuál sería la reacción de ese país ‘enemigo’?”

Pero el hackeo fue aparentemente solo con fines económicos.

Siguiendo la línea de Bravo, el sitio web especializado en tecnología, Engadget.com, publica que los atacantes tuvieron prácticamente “acceso ilimitado a todo Twitter”. Y decidieron usarlo únicamente para recaudar Bitcoins.