El ser humano siempre es el eslabón más débil.
– Kevin Mitnick
Hacker/cracker/phreaker y experto en ciberseguridad
Ayer nos enteramos de que Twitter había sido crackeado (que es más apropiado que hackeado) para cometer una estafa a gran escala. Básicamente los atacantes consiguieron de alguna forma emitir tuits desde cuentas muy conocidas e importantes, de las «verificadas por Twitter: Jeff Bezos, Bill Gates, Elon Musk, Obama, Warren Buffet, Apple, Binance, Ripple… La estafa era burda pero efectiva por el alcance de esas cuentas; ni más ni menos que el clásico «timo de la estampita» aunque modernizado en versión «si me envías dinero en bitcoins te devuelvo el doble, para apoyar la lucha contra la Covid-19».
Quien mejor lo ha resumido y tiene bastantes pistas acerca de cómo se hizo es el siempre informado y recomendable Brian Krebs: Who’s Behind Wednesday’s Epic Twitter Hack?. El resumen rápido:
- La «instrusión» y los mensajes se enviaron a las 21.00 (GMT), el primero desde la cuenta de Binance, un sitio de criptodivisas. Luego se concentraron en unas 130 cuentas, de las que sólo pudieron enviar mensajes con algunas.
- Como las transacciones de bitcoins son públicas, puede verse el el libro de registro que en las primeras 24 horas la cuenta que perpetró la estafa recibió 383 transacciones de bitcoins por valor de 13 bitcoins (unos 103.000 euros).
- Twitter confirmó al poco que el ataque utilizó ingeniería social contra algunos de los empleados para acceder a sistemas internos.
En el artículo hay muchos más detalles sobre los posibles atacantes (expertos en SIM swapping o «clonado de SIMs»); cómo en el mercado negro se vendía la posibilidad de «cambiar el correo de cualquier cuenta de Twitter» para luego atacarla desactivando la autenticación de dos factores y cambiando la contraseña; y cómo las cuentas OG de «pioneros» (las de una o dos letras, como la de nuestro amigo @sd) son las más codiciadas. Uno de los mencionados como candidatos a ser el autor es un inglés de Liverpool apodado PlugWalkJoe que ya hackeó la cuenta de Jack Dorsey el año pasado con un «clonado de SIM» y que curiosamente podría estar en España.
¿Qué nos ha enseñado todo esto?
- A pesar de que estamos en el siglo XXI y todo el mundo maneja apps, redes sociales y criptodivisas –que no es fácil– todavía hay quien cae en timos como el de la estampita y en que Bill Gates o Jeff Bezos les va a regalar dinero. ¡Por favor! Hay que estar más vivo.
- La seguridad de Twitter es más que cuestionable. Este incidente no es el primero, tal y como cuentan en CyberSecurityPulse de Eleven Paths. Cuando se analice cómo ha ocurrido todo exactamente puede que sepamos si había empleados implicados (una táctica típica es sobornarlos o chantajearlos) y sobre todo cómo es posible que a alguien responsable de la seguridad de millones de cuentas se le engañe con ingeniería social, el más viejo de los trucos del hacking/cracking. Como decía Kevin Mitnick, «a alguien en Twitter le vendría bien un poco entrenamiento sobre concienciación en cuestiones de seguridad para mitigar futuros ataques». Enrique Dans lo considera un desastre y una irresponsabilidad inaceptable.
- Twitter dice que cree que no pudieron a acceder a las contraseñas de las cuentas, lo cual probablemente es cierto porque no suele ser fácil y se guardan encriptadas. Pero tampoco está claro cómo pudieron hackear la cuenta de alguien con acceso a un «panel de administración» relativamente poderoso sin vulnerar su 2FA (autenticación de dos factores).
Todavía hay muchas incógnitas: ¿Pudieron los atacantes acceder a más información personal de las cuentas, como los números de teléfono o los mensajes directos? ¿Por qué no usaron otras cuentas de famosos para hacer más masiva la estafa? ¿Los atacantes eran profesionales organizados o meros aficionados? ¿Pudo la estafa en bitcoins ser un encubrimiento de algo peor, como acceder a los mensajes directos de esas cuentas? ¿Qué hubiera pasado si hackean a los presidentes de los países y montan un conflicto a nivel mundial? Dicen que el FBI ya está investigando el asunto y Twitter va dando a conocer a cuentagotas algunos detalles, junto con el clásico «Lo sentimos mucho. Nos hemos he equivocado y ya estamos tomando medidas para que no vuelva a ocurrir.»
Actualización (18 de julio de 2020) – Hay un buen artículo sobre los crackers, la gente de Twittery el incidente en The New York Times ($): Hackers Tell the Story of the Twitter Attack From the Inside. También se ha publicado ya la versión larga de la explicación de Twitter, An update on our security incident, con algunos datos relevantes:
- El ataque iba dirigido a cuentas, de las que consiguieron cambiar la contraseña de 45 y tuitear con ellas.
- También descargaron los «datos de tu Twitter», que es como se llama todo el contenido histórico asociado a una cuenta de Twitter, incluyendo mensajes directos, bloqueos, libreta de direcciones… Esto lo hicieron con 8 cuentas en total. Eran cuentas «no verificadas», así que quizá no de las más relevantes, sino de las de «nombres cortos».
- Intentaron vender algunas de las cuentas con nombres cortos.
- La cartera de bitcoin principal utilizada recibió en un par de días cerca de 400 transacciones por valor de unos 12,8 bitcoin; las secundarias unas 100 transacciones y unos 2 bitcoins más. Información en Coindesk y seguimiento en Chainalysis.
Actualización (1 de agosto de 2020) – Es sabido que el crimen no compensa, y en este caso parece que tampoco. The Verge cuenta que los supuestos crackers ya han sido detenidos: Three people have been charged for Twitter’s huge hack, and a Florida teen is in jail. Ninguno trabajaba para Twitter pero uno de ellos se hacía pasar por empleado. El más joven tenía 17 años.
Relacionado:
- Kevin Mitnick cuenta cómo usó la ingeniería social contra Motorola
- Hackers en acción
- La forma más fácil de colar software malicioso en una empresa
- Al parecer unos hackers intentaron distribuir malware usando CDs
- Ingeniería social vía memorias USB
- Es relativamente fácil hackear las cámaras de vídeo de los policías
- Entrevista a Kevin Mitnick en El País
- Malos usos de la Ingeniería Social
- The Art of Deception
- No hemos aprendido nada de la historia
- Gente que necesita recuperar sus bitcoin cuando pierden las contraseñas