A fondo: Las conclusiones que deja el hackeo masivo de cuentas verificadas de Twitter

Bill Gates, Elon Musk, Jeff Bezos, Barack Obama y Kanye West son algunos de los famosos que se han visto envueltos en un ataque a la red social Twitter. Sus cuentas fueron hackeadas a última hora del miércoles, como también las de empresas tecnológicas como Apple y Uber, para difundir mensajes que prometían multiplicar envíos de la divisa digital Bitcoin a aquellos usuarios que actuasen más rápido.

En unas pocas horas, esta estafa de tipo giveaway recaudó más de 100 000 euros por parte de varios cientos de usuarios gracias a la fiabilidad que le confería el uso de cuentas verificadas. Y evidencia, una vez más, el gran eslabón débil de las estrategias de seguridad: el factor humano.

Las estafas giveaway han alcanzado este año su pico de incidencia más alto, justo cuando repunta el valor de las criptomonedas. Y, aunque por lo general se apoyan en cuentas falsas de redes sociales para la generación de clics, los ciberdelincuentes prueban nuevas técnicas para ganarse la confianza de los internautas y quedarse con su dinero.

Incluso los que saben de tecnología pueden caer en la trampa

“Los ciberdelincuentes siguen teniendo en el punto de mira a las personas”, advierte sobre lo ocurrido Loïc Guézo, director sénior de estrategia de ciberseguridad para la región EMEA de Proofpoint. Por mucho que evolucionen las amenazas y sus autores, la naturaleza humana se mantiene en el centro del ataque.

“Esta gran estafa pone de manifiesto el hecho de que vivimos en una época en la que incluso las personas con conocimientos sobre tecnología pueden caer en las trampas de los estafadores”, apunta Dmitry Galov, investigador de seguridad de Kaspersky, que subraya que “incluso las cuentas más seguras pueden ser hackeadas”.

“Hackear cuentas populares para publicar mensajes de estafa no es una práctica nueva, como tampoco lo es el timo de recobrar por duplicado una donación”, apunta Galov, pero lo “curioso en este caso es la escala del ataque y el hecho de que el actor se haya apoderado completamente de las cuentas verificadas”. Es decir, “se han cambiado sus correos electrónicos, por lo que los propietarios no son capaces de recuperar el acceso con la suficiente rapidez” y evitar efectos nocivos de usurpación.

La identidad de los usuarios que fueron objeto del ataque de ayer también es algo que destaca Liviu Arsene, investigador sénior de ciberseguridad global en Bitdefender. “Los ciberdelincuentes han conseguido tener éxito en su ataque a cuentas de usuarios de Twitter con un perfil muy elevado, que seguramente utilizan autenticación de dos factores. Eso apuntaría a que se ha tratado de un ataque coordinado a los empleados y sistemas de Twitter”.

El papel de los empleados de Twitter

Partiendo del proceso de ingeniería social utilizado en la estafa, Loïc Guézo también concluye que “los atacantes se dirigieron a empleados de la compañía Twitter que disponían de acceso a determinadas herramientas internas, aprovechándose de la confianza que despierta el hecho de que una cuenta esté verificada y del atractivo que supone que te devuelvan el doble de una cantidad de dinero”.

“Este ataque a Twitter podría ser el resultado de una campaña de phishing dirigido tipo ‘spray and pray’ de algunos ciberdelincuentes oportunistas que, pudiendo haber causado mucho más daño, se han centrado en una burda estafa en Bitcoins”, contempla Arsene. “Es decir, podríamos estar ante unos piratas que quieren dinero rápido y fácil y que no están dispuestos a trabajar una operación más coordinada y sofisticada de un grupo APT”.

“Si este es el caso”, aventura, “es probable que más empresas puedan ser atacadas a través de más acciones de phishing dirigido a sus empleados”. Este experto cree que el ataque podría ser resultado directo de “ciberdelincuentes que han buscado aprovecharse de las vulnerabilidades del actual modelo de teletrabajo, en el que los empleados tienen más posibilidades de convertirse en víctimas de estafas y de correos electrónicos peligrosos que logran comprometer sus dispositivos y, como consecuencia, los sistemas de la empresa”.

Se calcula que 1 de cada 2 organizaciones no tenía capacidad para soportar el obligado cambio desde el puesto de trabajo tradicional a un escenario en remoto cuando comenzaron los confinamientos de la población, con el objetivo de frenar el avance del coronavirus. Muchas todavía tienen que mejorar.

Así, “probablemente veremos más violaciones de datos producto de la negligencia de los empleados o de configuraciones incorrectas en la infraestructura tecnológica que se produjeron en el proceso de transición al modelo de trabajo desde casa”, prevén desde Bitdefender, que señala que, “si bien las grandes organizaciones pueden disponer de fuertes defensas de seguridad para proteger su perímetro, la mayor parte de los profesionales de seguridad temen que las consecuencias puedan ser graves si los ciberdelincuentes deciden explotar el eslabón más débil de la cadena: el componente humano”.

Hay que reconocer las estafas; hay que proteger las cuentas de redes sociales

“La ciberseguridad es, sin duda, una de las mayores prioridades de las principales plataformas de redes sociales”, que “se esfuerzan por evitar muchos ataques cada día. Sin embargo, ningún sitio web ni software es totalmente inmune a los virus, como tampoco los humanos dejamos de cometer errores”, añade Dmitry Galov. “Por lo tanto, cualquier plataforma nativa puede verse comprometida”.

El investigador de Kaspersky observa que, junto a “nuevos vectores de ataque, las estafas combinan técnicas antiguas”, ya probadas. Los ciberdelincuentes ganan acceso a cuentas que no les pertenecen de diversas maneras: “penetrando en una aplicación de terceros con acceso al perfil del usuario o utilizando técnicas de fuerza bruta para descubrir su contraseña”, por ejemplo. “A pesar de ello, no hay que entrar en pánico sino aceptar que los usuarios de las cuentas de las redes sociales han de ser responsables y llevar a cabo una protección exhaustiva”.

“Este incidente” ocurrido con las cuentas de famosos de Twitter, “puede servirnos para reevaluar cómo gestionamos nuestros perfiles sociales y su seguridad”, para incorporar “instrumentos” que permitan “reconocer incluso la estafa más elaborada y minimizar su impacto”, propone Galov.

“Creo que podemos extraer dos grandes lecciones de este incidente”, termina este experto. “En primer lugar, los usuarios tienen que ser conscientes de la existencia de este tipo de estafas y ser cautelosos en las redes sociales; tienen que ser capaces de reconocerlas. En segundo lugar, tenemos que ser muy cuidadosos con nuestros activos online, cualquier cosa crítica tiene que tener, como mínimo, una autenticación de dos factores”.

Una de las pistas para detectar campañas de fraude online es el uso del límite temporal. Los criminales dejan poco tiempo para pensar a sus víctimas, que en vez de comprobar la veracidad de una oferta o solicitud acaban asumiendo el riesgo de aceptarla por miedo a perder la oportunidad. Además, una iniciativa por parte de una empresa oficial o personas reconocidas debería ir acompaña de documentos prescriptivos a modo de soporte de la promoción.

Para proteger los perfiles de redes sociales, lo recomendable es usar contraseñas únicas fuertes, ayudándose de gestores de contraseñas y aplicaciones de autenticación de doble factor. Tampoco está de más revisar los permisos de las aplicaciones y revocar el acceso a la cuenta de Twitter a aquellas poco fiables o no protegidas.