Cómo la imprudencia novata de un empleado ha contribuido al mayor hackeo en la historia de Twitter

Twitter ha sufrido uno de los peores episodios de su historia. Un hackeo masivo ha secuestrado algunas de las cuentas más relevantes de la red social. Apple, Kanye West, Barack Obama, Elon Musk o Bill Gates han visto como sus perfiles caían en manos de delincuentes que han lanzado el mismo mensaje desde todas ellos: un anuncio para hacerse con criptomonedas, disfrazado de caridad.

¿Cómo es posible que algunas de las cuentas más protegidas del mundo hayan sido hackeadas? La respuesta la ha dado la propia Twitter. En una serie de tuits publicados esta noche en su canal de soporte, la red social anunció que sus sistemas internos fueron comprometidos por los piratas informáticos, confirmando las teorías de que el ataque no podría haberse llevado a cabo sin acceso a las herramientas de la empresa y los privilegios de los empleados.

POLAND - 2020/07/15: In this photo illustration a Twitter logo is seen displayed on a smartphone. (Photo Illustration by Omar Marques/SOPA Images/LightRocket via Getty Images)

"Detectamos lo que creemos que es un ataque coordinado de ingeniería social por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internos", dice el primer tweet en un hilo explicativo de varios tweets. "Sabemos que utilizaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre".

Parece que Twitter está reconociendo aquí que numerosas personas parecen haber estado involucradas en el ataque no solo un individuo, y también que numerosos empleados también se vieron comprometidos.

Twitter no detalla a qué herramientas accedieron los atacantes o cómo se llevó a cabo exactamente el ataque, pero Motherboard, la página tecnológica de Vice, informó hoy que varios círculos de piratería clandestina han estado compartiendo capturas de pantalla de una herramienta interna de administración de la compañía supuestamente utilizada para llevar a cabo las adquisiciones de cuentas, posiblemente restableciendo cuentas de correo electrónico y luego recuperar contraseñas.

En una actualización de su investigación sobre el hack, Motherboard ahora dice que ha hablado con los piratas informáticos que aseguran haber pagado a un empleado de Twitter para cambiar las direcciones de correo electrónico de cuentas populares usando la herramienta interna para que luego puedan tomar el control de ellas.

Motherboard también comparte algunas de las capturas de pantalla de la herramienta interna que ha originado todo el problema, incluida una aquí en la que Motherboard eliminó información confidencial de la cuenta. Según los informes, Twitter suspende cuentas que comparten esas capturas de pantalla y las elimina manualmente por violar sus reglas.

No está claro si así es como se llevó a cabo el ataque; Twitter no lo dirá por ahora. Pero las adquisiciones de cuentas casi simultáneas de varias cuentas de Twitter altamente sensibles, incluidas las de los candidatos presidenciales y las que tienen habilitada la autenticación de dos factores, sugieren que los atacantes no simplemente explotaron a los propietarios de cuentas individuales y tuvieron al menos acceso indirecto a las herramientas de empleados.

La compañía asegura que actualmente está investigando "qué otra actividad maliciosa pueden haber realizado o información a la que hayan accedido y compartirán más aquí cuando la tengamos". Es teóricamente posible que los atacantes hayan tenido acceso a mensajes privados directos, por ejemplo. Los responsables del ataque parecían usar las adquisiciones de cuentas como una forma de promover una estafa de bitcoin, una que resultó en que las personas que se tragaron la estafa enviaron casi 120.000 dólares de la criptomoneda a la dirección de billetera digital que figura en casi todos los tweets, muestran los registros de blockchain.

Sea como sea, es un escándalo mayúsculo para Twitter, que ha comprobado de manera amarga que tiene al enemigo en casa.

Más historias que te pueden interesar:

La Justicia europea da la razón a Apple, que no tendrá que pagar 13.000 millones en impuestos en Irlanda

Twitter: Detectamos un ataque coordinado de ingeniería social

La jugada de Facebook para derribar mitos del coronavirus

Nuestro objetivo es crear una comunidad segura y respetuosa de cada uno de sus miembros. A fin de mejorar la experiencia de nuestra comunidad y mientras estamos trabajando en ello, hemos suspendido temporalmente los comentarios en artículos. Gracias por tu comprensión.