Qué hay detrás del “mayor hackeo de la historia de Twitter”
Todavía quedan muchos interrogantes sobre el hackeo de algunas cuentas de Twitter el pasado miércoles, pero algo en lo que la mayoría coincide es que pudo haber sido mucho peor.
Se cree que miles de personas pudieron ser estafadas de su dinero después de que las cuentas pirateadas de destacados usuarios verificados prometieran doblar el dinero que sus seguidores les enviaran en la criptomoneda bitcoin.
A través de los sistemas internos de Twitter, los mensajes de los piratas cibernéticos llegaron a por lo menos 350 millones de personas.
Y parece que lograron hacerse con unos 110.000 dólares en las pocas horas que duró el fraude.
Alta interacción
Lo sucedido el miércoles fue un ataque sin precedentes a la privacidad, confianza y seguridad de la red social, pero los expertos afirman que los hackers pudieron haber causado mucho más daño.
Como lo expresó el jefe de un servicio menor de mensajería: “Gracias a Dios por la codicia”.
Twitter cuenta con una enorme actividad de sus usuarios en Estados Unidos, Japón, Rusia y Reino Unido.
Es, además, la plataforma por excelencia para algunas de las personas más poderosas y famosas del mundo.
Sus mensajes en la red social han influido en el movimiento de mercados financieros y ocasionado incidentes diplomáticos.
Cuando faltan menos de cuatro meses para las elecciones presidenciales en EEUU, ahora salen a relucir interrogantes válidos sobre la confiabilidad de Twitter.
“Herramientas favoritas”
La cuenta del presidente de Estados Unidos, Donald Trump, no estuvo comprometida en el ataque, pero muchos estaban a la espera de que cayera después de que la cuenta de su rival demócrata, Joe Biden, tuiteara el mensaje pirata al igual que pasó con otros destacados usuarios, como el exalcalde de Nueva York Mike Bloomberg o el rapero Kanye West.
El mensaje decía: “Por cada bitcoin enviado a la dirección abajo ¡se te enviará el doble! Si envías US$1.000, te enviaré US$2.000. Solo haré esto durante 30 minutos. ¡Disfruta!”.
“Ya sabemos que Rusia planea entrometerse en las elecciones de 2020, de la misma manera que lo hicieron en las elecciones de 2016”, señaló la doctora Heather Williams, del King’s College, en Londres.
“La manipulación de las redes sociales es una de sus herramientas favoritas”, explicó.
“Así que este hackeo demuestra lo vulnerables que son las plataformas de las redes sociales y lo vulnerables que son los estadounidenses a la desinformación.
“Si algo más importante estuviera en juego, como la presidencia, realmente podría tener consecuencias desastrosas y socavar nuestros procesos democráticos”, agregó.
Privilegios de administrador
Las implicaciones de seguridad del fraude también son extensas, no solo para Twitter sino para todas las redes sociales.
Los primeros análisis sugieren que los hackers lograron tener acceso a los privilegios de administrador, lo que les permitió saltarse las contraseñas de cualquier cuenta a que quisieran acceder.
Twitter pareció confirmar esto en un tuit: “Detectamos lo que creemos es un ataque coordinado de ingeniería social por personas que lograron alcanzar con éxito a algunos de nuestros empleados que tienen acceso a sistemas y herramientas internas”.
Empleados cómplices
“Ingeniería social” puede tener varios significados.
Podría implicar una operación específica de phishing (fraude electrónico) -una táctica común empleada por criminales cibernéticos que logran saber qué individuos poseen las claves necesarias para penetrar un sistema y luego les envían correos electrónicos personales engañosos para que proporcionen los detalles personales.
O podría significar que los piratas lograron convencer a uno o varios empleados a que colaboraran por interés propio, tentados con dinero u otros medios.
El gigante tecnológico va a estar bajo enorme presión para ser mucho más específico sobre la situación.
“El costo de este ciberataque es la reputación de Twitter”, expresó William Dixon, jefe de tecnología del Foro Económico Mundial.
“Esta es una grave violación de la seguridad para Twitter”, indicó. “La peor en su historia”.
“Se necesita mayor fortaleza cibernética en el sistema para proteger a los usuarios de redes sociales en todo el mundo”.
“Información sensible”
Twitter no está contestando las preguntas de los periodistas; sin embargo, dijo que ha dado “pasos significativos para limitar el acceso a los sistemas internos”, mientras investiga.
La empresa añadió que también está “investigando qué otra actividad maliciosa pudieron haber cometido [los hackers] o a qué otra información pudieron tener acceso”.
El director ejecutivo del servicio de mensajería Element aludió a la posibilidad de que datos confidenciales hubieran quedado expuestos.
“Es muy probable que los mensajes privados directos fueran accesibles por corto tiempo”, afirmó Matthew Hodgson.
“La próxima vez, la extracción de información sensible podría generar una ola de extorsión o algo mucho peor”.
La idea de que Twitter tenga la capacidad de tomar el control de las cuentas de sus usuarios sin importar la seguridad que tengan puede sorprender a muchos.
Pero los expertos explican que eso es parte de cualquier servicio basado en afiliación de usuarios.
Se les dio la oportunidad a Facebook Snapchat, Instagram y YouTube para que comentaran sobre sus estructuras de seguridad.
Ninguno ha respondido.
“Cuentas de alto riesgo”
No obstante, el exjefe de seguridad de Facebook, Alex Stamos, le dijo a la BBC que todas las empresas orientadas al público necesitan tener una manera de ayudar al usuario a recuperar sus cuentas pirateadas o de las que ha perdido el acceso de otra manera.
“El cambio que puede hacerse aquí es que Twitter restrinja su acceso a las cuentas de alto riesgo a un número más pequeño o que cree herramientas que requieran que una persona inicie un cambio y otra lo apruebe”, dijo.
“Esto es, aparentemente, lo que ya han hecho con la cuenta del presidente Trump, después de un incidente en 2017”, señaló.
“Van a tener que expandir enormemente estas protecciones”.
Pérdida de control
Más allá de la potencial pérdida de confianza, Twitter también podría enfrentar demandas legales.
El ente regulador de protección de datos de la Unión Europea indica que organizaciones como Twitter tiene que demostrar niveles “apropiados” de seguridad.
Y si los reguladores de protección de datos juzgan que Twitter falló a la hora de tomar medidas adecuadas para proteger a los usuarios europeos, podrían multar a la empresa.
A comienzos de este año, el director ejecutivo de la compañía, Jack Dorsey, perdió el control de su cuenta durante 20 minutos.
Y en 2010, Twitter acordó un pago con la Comisión Federal de Comercio de EE.UU. después de que se alegó que hackers habían logrado obtener ilegalmente el control administrativo -incluyendo la habilidad de enviar tuits falsos- de la cuenta del entonces presidente Barack Obama y del canal noticioso Fox News.
