La Oficina Federal de Investigaciones (FBI) de San Francisco y el estado de Nueva York han abierto múltiples investigaciones paralelas sobre el ataque del 15 de julio a los sistemas de Twitter por parte de estafadores de criptomonedas, y los investigadores de ciberseguridad también están siguiendo a los perpetradores.
Como se informó anteriormente, se sospecha que el pirateo es una violación interna a través de un empleado comprometido de Twitter con acceso a herramientas internas. Vio múltiples cuentas prominentes secuestradas para tuitear una estafa de criptomonedas que parece haber generado a las personas detrás de ella al menos $ 100,000.
Actualmente, muchos piensan que es muy probable que el pirata informático o los piratas informáticos que están detrás del ataque no estén tratando de hacer nada más que estafar a las víctimas de su efectivo, una teoría que parece ser corroborada por evidencia publicada por el investigador de seguridad Brian Krebs, lo que sugiere que fue perpetrado por un estudiante británico de 21 años actualmente en España, conocido como el llamado intercambiador de SIM. Intercambio de SIM es un tipo de robo de identidad que consiste en convencer a un empleado de un operador de telefonía móvil para que cambie el número de teléfono del objetivo a un nuevo dispositivo, dando a los delincuentes acceso a datos sensibles.
Sin embargo, incluso si esto es cierto, una fuente de preocupación mucho mayor radica en el hecho de que con el acceso a múltiples cuentas a través de un sistema interno comprometido, los autores podrían haber obtenido acceso a cada usuario de la plataforma de Twitter para causar aún más estragos que ellos. parece haber logrado
También es una posibilidad clara, aunque aún no probada, que los autores hayan podido establecer una persistencia dentro de los sistemas de Twitter, abriendo la puerta a más ataques cibernéticos más dañinos, un punto hecho por F-Secure’s Mikko Hypponen, quien dijo que, tal como aparecen las cosas actualmente, Twitter parece haber salido a la ligera.
“El ataque podría haber hecho cosas mucho peores que tratar de estafar a las personas con bitcoins; Los atacantes tenían acceso a todo. Podrían haber hecho cualquier cosa en Twitter. Podrían haber comenzado a tuitear cosas raras en los nombres de los candidatos presidenciales de Estados Unidos durante la votación de noviembre, por ejemplo ”, dijo.
«Podemos y debemos esperar que este grupo de ataque aproveche al máximo su acceso de nivel de administrador a la plataforma de Twitter»
Tarek Saleh, DomainTools
Tarek Saleh, ingeniero de seguridad sénior en Herramientas de dominio, dijo que era sensato que los investigadores asumieran el peor de los casos.
«Podemos y debemos esperar que este grupo de ataque aproveche al máximo su acceso a nivel de administrador a la plataforma de Twitter y asuma que a estas cuentas afectadas también les robaron sus mensajes directos privados», dijo Saleh.
“Los datos de mensajes privados pueden tener un gran impacto en extorsionar a esas personas o contener otros secretos altamente personales o confidenciales. Creo que veremos un gran efecto dominó de esta violación durante un tiempo ”.
Immuniweb La fundadora Ilia Kolochenko agregó: “Este incidente destaca la extrema fragilidad del espacio de información moderno. En una campaña de desinformación similar, los actores de los estados nacionales pueden simplemente anunciar un incidente militar o nuclear y provocar estragos nacionales o difundir noticias falsas sobre un negocio rival para arruinar el precio de sus acciones y luego comprarlo por centavos.«
“Con más de 300 millones de usuarios, Twitter es una fuente principal de noticias para muchos, por lo que es un objetivo para los malos actores. Este tipo de pirateo de estafadores para obtener ganancias financieras también puede ser una herramienta de actores extranjeros y otros para difundir la desinformación y, como hemos visto, interrumpir nuestras elecciones.
“Estoy dirigiendo una investigación completa sobre este ataque masivo a través del Departamento de Servicios Financieros de Nueva York y cualquier otra agencia estatal relevante para sacar a la luz los hechos. La interferencia extranjera sigue siendo una grave amenaza para nuestra democracia y Nueva York continuará liderando la lucha para proteger nuestra democracia y la integridad de nuestras elecciones de cualquier manera que podamos «.
130 cuentas golpeadas
Con su propia investigación en curso, un portavoz de Twitter dijo: “Según lo que sabemos en este momento, creemos que aproximadamente 130 cuentas fueron atacadas por los atacantes de alguna manera como parte del incidente. Para un pequeño subconjunto de estas cuentas, los atacantes pudieron obtener el control de las cuentas y luego enviar Tweets desde esas cuentas.
“Estamos trabajando con los propietarios de las cuentas afectadas y continuaremos haciéndolo durante los próximos días. Continuamos evaluando si los datos no públicos relacionados con estas cuentas se vieron comprometidos y proporcionaremos actualizaciones si determinamos que ocurrieron.
«Si bien esto parece ser un ataque a la empresa en lugar de a los usuarios individuales, instamos a las personas a tratar las solicitudes de dinero o información confidencial en las redes sociales con extrema precaución».
Centro Nacional de Seguridad Cibernética
“También hemos estado tomando medidas agresivas para asegurar nuestros sistemas mientras nuestras investigaciones continúan. Todavía estamos en el proceso de evaluar los pasos a largo plazo que podemos tomar y compartiremos más detalles tan pronto como podamos «.
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo: “Somos conscientes de un ataque cibernético en Twitter y nos hemos comunicado con la compañía.
«Si bien esto parece ser un ataque a la empresa en lugar de a los usuarios individuales, instamos a las personas a tratar las solicitudes de dinero o información confidencial en las redes sociales con extrema precaución.
«El NCSC ha producido recientemente orientación para organizaciones sobre protegiendo lo que publican en las redes sociales, y más ampliamente le recordamos a la gente de nuestro consejos para mantenerse seguro a través de medidas como contraseñas seguras y activación de la autenticación de dos factores (2FA) «.
Tom Lysemose Hansen, CTO de Promon, dijo: «Si bien nos gustaría esperar que este sea el final de este ataque en particular, también hay implicaciones aún por descubrir con respecto a la seguridad del usuario final. Actualmente se desconoce si se ha violado algún dato personal. Como resultado, ahora todos los usuarios de Twitter tienen la responsabilidad de asegurarse de que están utilizando contraseñas seguras y únicas, y de tener habilitada la autenticación multifactor para mitigar cualquier riesgo potencial de futuros ataques «.
