Así han hackeado en Twitter a Obama, Kardashian, Gates y Musk
Twitter vivió en la noche de este miércoles un hackeo histórico con cientos de cuentas de celebridades secuestradas
Las cuentas de Twitter del expresidente de EEUU Barack Obama, el candidato demócrata Joe Biden, celebridades como Kim Kardashian, el consejero delegado de Tesla, Elon Musk, Bill Gates o marcas como Apple y Uber se han visto afectadas este miércoles por la noche por lo que para muchos es uno de los hackeos más graves de la historia.
Todas ellas tuitearon entre las 22:00 y las 23:00 hora española mensajes en los que animaban a sus seguidores a enviar bitcoins a un monedero de criptomonedas. El gancho era que las celebridades estaban devolviendo el doble de lo que recibían.
«Día duro para nosotros. Nos sentimos terribles porque esto haya ocurrido». Con estas palabras Jack Dorsey, consejero delegado y fundador de Twitter, reconocía un ciberataque por el cual los responsables han logrado estafar más de 100.000 euros en bitcoins.
Esto es todo lo que se sabe por el momento del gran hackeo a Twitter.
Las primeras señales de que algo no iba bien
Al filo de las 21:00 horas muchos usuarios daban las primeras señales de alarma. Las cuentas de Twitter de plataformas de intercambio de criptomonedas como Binance, Coinbase o Gemini estaban compartiendo mensajes en la red social que olían a estafa desde lejos.
Todos los tuits eran idénticos. «Nos hemos asociado con CryptoForHealth y estamos repartiendo 5.000 bitcoins entre la comunidad. Descubre más aquí: CryptoForHealth.com». La cuenta española Derecho de la Red todavía conserva algunos pantallazos de este mensaje.
En la citada página web, los ciberdelincuentes animaban a sus víctimas a enviar bitcoins a un criptomonedero con una sencilla promesa: los usuarios recibirían el doble de lo enviado en sus cuentas.
Por supuesto, los criminales no iban a devolver nada de lo que recibiesen.
Solo pasaron unos largos minutos hasta que Twitter prohibió este enlace en la red social. Todos los tuits que incluían esa dirección pasaron a ser inaccesibles. Pero esto no quedaría ahí.
Más de 100.000 euros estafados en horas
Una vez Twitter adoptó la medida y los tuits con la dirección a CryptoforHealth dejaron de ser visibles, comenzó la segunda oleada del ciberataque. Cuentas de Twitter de grandes personalidades —políticos, empresarios, celebridades— en todo el mundo comenzaron a compartir otro mensaje.
«Me siento agradecido. Estoy duplicando todos los pagos que me enviéis a mi cuenta BTC. Tú envías 1.000 dólares, yo envío 2.000. Solo durante la próxima media hora».
Huelga decir que, detrás de este mensaje, no estaban las celebridades reales propietarias de las cuentas de Twitter. En el caso de la cuenta de Elon Musk, el tuit apareció en varias ocasiones, a pesar de que la plataforma lo borrase. Una vez borrado, el tuit volvía a aparecer e incluso figuraba como tuit fijado en el perfil del CEO de Tesla.
El tuit incluía una dirección BTC. Aunque pudiera parecer obvio que se trataba de una estafa, solo anoche los ciberdelincuentes recibieron 374 transacciones a ese monedero. En total, ganaron en apenas unas horas cerca de 13 bitcoins. En concreto, más de 103.600 euros.
Business Insider España ha consultado el estado de transacciones actual del monedero. De los 12,87 bitcoins recibidos apenas queda rastro: los ciberdelincuentes se han repartido las ganancias remitiendo el dinero a otras direcciones BTC.
Twitter decidió contraatacar y bloqueó todos los tuits que incluyesen esa dirección del monedero BTC. El problema, como apuntaba el ingeniero informático Sergio Carrasco en este tuit, es que los delincuentes volvieron a la carga usando una nueva dirección.
La drástica decisión de Twitter
Twitter estaba desbordada. Si bloqueaban una dirección web, los ciberdelincuentes comenzaban a compartir la dirección del monedero cripto. Si vetaban los tuits con la dirección de dicho monedero, los atacantes comenzaban una campaña con una nueva dirección.
Al final, lo que hizo Twitter fue tomar una decisión drástica: bloqueó todas las cuentas con el check azul. Es decir, todas las cuentas verificadas de personalidades y celebridades.
Eso provocó que durante buena parte de la noche muchas cuentas de medios y periodistas no pudiesen compartir la información que estaba generando el ciberataque, por ejemplo.
También obligó a muchas celebridades a formar mensajes retuiteando palabras sueltas de otras cuentas, como puedes ver aquí. Efectivamente: el bloqueo impedía a los tuiteros verificados compartir sus propios tuits, pero sí podían retuitear los de los demás.
El ataque no fue a los famosos: fue a Twitter
Uno de los cofundadores de Gemini, una plataforma de intercambio de criptodivisas que fue de las primeras en ser víctimas de hackeo, confirmaba en las redes que la cuenta de la compañía estaba protegida con autenticación en dos pasos (2FA).
En otras palabras: era imposible que los mismos ciberatacantes hubiesen conseguido penetrar en las cuentas de tantísimas personas si además varias contaban con autenticación en dos pasos —lo que implica que muchos usuarios reciben un SMS o un correo electrónico cuando alguien intenta acceder a sus cuentas—.
La cuenta oficial del Soporte de Twitter reconocía al filo de la medianoche que eran conscientes de que la plataforma había sido comprometida.
Cómo fue el ciberataque y quién está detrás
Lo primero que han hecho los investigadores es acudir a la página de CryptoForHealth, la que amparó la primera oleada de tuits fraudulentos, para ver quién estaba detrás.
Según el Coin Telegraph, el dominio fue registrado el mismo día del ciberataque, según la Compañía de Internet para Asignar Nombres y Números (ICANN, por sus siglas en inglés). Fue, de hecho, registrado por un tal Anthony Elias, con una dirección postal de California… que en realidad no existe.
Twitter comenzó a narrar lo que hasta ahora se sabe de madrugada:
We’re continuing to limit the ability to Tweet, reset your password, and some other account functionalities while we look into this. Thanks for your patience.
— Twitter Support (@TwitterSupport) July 15, 2020
«Hemos detectado lo que creemos que es un ataque coordinado de ingeniería social de ciberdelincuentes contra nuestros empleados, lo que les ha permitido tener acceso a nuestros sistemas y herramientas internas», confirmó.
«Sabemos que usaron este acceso para tomar el control de muchas cuentas altamente reconocidas —incluyendo las verificadas— y tuitear suplantando sus identidades. Estamos investigando qué otra actividad maliciosa han podido cometer o a qué información han podido acceder, y compartiremos más detalles en cuanto lo descubramos».
«Una vez que hemos tomado conciencia del incidente, hemos cerrado inmediatamente las cuentas afectadas y eliminados los tuits publicados por los atacantes. También hemos limitado la funcionalidad de Twitter para un gran grupo de cuentas, como todas las verificadas —incluso cuando no hay pruebas de que se hayan visto comprometidas— mientras seguimos investigando», continúan.
«Es drástico, pero es un paso esencial para reducir riesgos. La mayoría de las funcionalidades ya se han restaurado pero podríamos tomar más acciones. Lo haremos saber. Hemos cerrado cuentas que se hayan visto comprometidas y restauraremos acceso a los propietarios legítimos de las cuentas solo cuando tengamos las certezas de que lo podemos hacer de forma segura».
Señalan la posible colaboración de un trabajador de Twitter
Menos de una hora después de la vulnerabilidad, senadores republicanos como Josh Hawley remitieron una carta al consejero delegado de Twitter en la que le pedían que colaborase con el Departamento de Justicia estadounidense y con el FBI para evitar que el agujero fuese a más, cuenta Motherboard.
El mismo medio abunda en esta información en la posibilidad de que los ciberdelincuentes pudiesen contar con la colaboración de un trabajador de Twitter, cuya parte habría sido esencial para secuestrar las cientos de cuentas que participaron en el fraude masivo que tuvo lugar este miércoles por la noche.
Según el periodista Joseph Cox, de Motherboard, un trabajador de Twitter fue responsable de la oleada de secuestros de cuentas. La información la respaldan con un pantallazo de las herramientas de administración del personal de Twitter y con dos fuentes internas de la compañía.
«Usamos a un representante que literalmente nos hizo todo el trabajo», explica una de las fuentes a este medio. La segunda añade que pagaron al trabajador de Twitter. Ambas hablan de forma anónima, por lo que es difícil esclarecer la legitimidad o veracidad de sus declaraciones.
Noticia original: Business Insider
Autor: Alberto R. Aguiar