Inicio Tecnología Twitter confirma que fue atacado por un ataque específico de pesca submarina

Twitter confirma que fue atacado por un ataque específico de pesca submarina

La investigación de Twitter sobre un ciberataque grave que tuvo lugar a principios de julio de 2020 descubrió que los ciberdelincuentes obtuvieron acceso a sus sistemas a través de un ataque de spearphishing de ingeniería social bien planificado y cuidadosamente dirigido a los propios empleados de Twitter.

El ataque tuvo lugar por teléfono, utilizando una técnica conocida como vishing, y logró obtener credenciales específicas de los empleados que permitieron a los atacantes obtener acceso a las herramientas de soporte interno de Twitter. A partir de ahí, se dirigieron a empleados de nivel superior que tenían acceso a herramientas críticas de soporte de cuentas.

Con este nivel de acceso, pudieron tomar el control de 130 cuentas de Twitter, tuitearon mensajes maliciosos de 45 de ellos, accedieron a la bandeja de entrada de mensajes directos (DM) de 36 y descargaron los datos de Twitter de siete.

“Este ataque se basó en un intento significativo y concertado de engañar a ciertos empleados y explotar las vulnerabilidades humanas para obtener acceso a nuestros sistemas internos”, dijo un portavoz de Twitter a través de un blog de divulgación. “Este fue un recordatorio sorprendente de la importancia de cada persona en nuestro equipo para proteger nuestro servicio. Tomamos esa responsabilidad en serio y todos en Twitter se comprometen a mantener su información segura.

“Nos hemos comunicado directamente con los propietarios de las cuentas afectadas y trabajamos para restaurar el acceso a cualquier cuenta que pueda haber sido bloqueada temporalmente durante nuestros esfuerzos de reparación. Nuestra investigación está en curso, y estamos trabajando con las autoridades apropiadas para garantizar que las personas responsables de este ataque sean identificadas “.

Twitter reconoció que el incidente había planteado preocupaciones sobre sus herramientas y niveles de acceso de los empleados. Dijo que en el día a día, sus equipos de soporte utilizan una serie de herramientas patentadas para ayudar en su trabajo, pero el acceso a dichas herramientas es muy limitado y solo se otorga por razones comerciales válidas. La empresa aplica una política de tolerancia cero para el mal uso de estas herramientas o credenciales, y monitorea y audita activamente los permisos que otorga.

Deberías leer:   El navegador Google Chrome eliminará gradualmente las cookies de seguimiento web de terceros en 2 años
Deberías leer:   Cómo configurar un Amazon Echo

Sin embargo, claramente estas salvaguardas no tuvieron en cuenta a los actores maliciosos moviéndose lateralmente a través de sus sistemas, por lo que dijo que ahora estaría “analizando detenidamente” cómo puede hacer que estos procesos sean más sofisticados y seguros.

“En el futuro, estamos acelerando varios de nuestros flujos de trabajo de seguridad preexistentes y mejoras en nuestras herramientas”, dijo la firma. “También estamos mejorando nuestros métodos para detectar y prevenir el acceso inapropiado a nuestros sistemas internos y priorizando el trabajo de seguridad en muchos de nuestros equipos. Continuaremos organizando ejercicios de phishing en toda la empresa durante todo el año.

“Estamos avergonzados, decepcionados y, más que nada, lo sentimos. Sabemos que debemos trabajar para recuperar su confianza, y apoyaremos todos los esfuerzos para llevar a los responsables ante la justicia. Esperamos que nuestra apertura y transparencia a lo largo de este proceso, y los pasos y el trabajo que tomaremos para protegernos contra otros ataques en el futuro, sean el comienzo de hacer esto bien ”.

Stuart Reed, director del Reino Unido en Cyberdefense naranja, dijo: “Como se sospecha, esta violación fue el resultado de la ingeniería social: piratas informáticos que se aprovechan de vulnerabilidades humanas. Las contramedidas técnicas contra los intentos de phishing y la detección de actividades maliciosas en la actualidad son mucho más robustas que en el pasado. El humano, por otro lado, es más complejo y difícil de predecir en ciertos escenarios, mientras que es fácil de manipular en otros.

“Es vital que las organizaciones empleen un enfoque en capas de personas, procesos y tecnología para una seguridad cibernética óptima. Este incidente subraya la importancia crítica de la conciencia y la educación entre los empleados y el papel que desempeñan en la buena higiene de los datos. La seguridad cibernética no es la única preocupación de un individuo o una función, es una responsabilidad compartida de todos “.

Análisis del ataque de Twitter producido a principios de esta semana por Atlas VPN descubrió que los tweets maliciosos podrían haber alcanzado hasta 382 millones de personas, aunque claramente existe una superposición entre los seguidores de diferentes cuentas. Entre las cuentas más grandes atacadas se encuentran las del ex presidente de los Estados Unidos, Barack Obama, a quien le siguen 121 millones de personas, o el 37% de los usuarios de Twitter monetizables, Kim Kardashian, seguido por 66 millones, y Bill Gates, seguido por 51.3 millones.

Deberías leer:   Twitter toma medidas enérgicas contra las cuentas de QAnon y el contenido relacionado
Deberías leer:   La comunidad de operadores móviles y los académicos usan el poder de los teléfonos inteligentes para luchar contra Covid-19

Pilar Benegas
Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.

Most Popular

Como los contratistas del tren bala de California arruinaron el proyecto del puente

Una serie de errores cometidos por contratistas y consultores en la empresa del tren bala de California provocaron que los cables de soporte fallaran...

Se garantiza que el video musical “Wish You Pain” de Andy Grammer le dará esperanza: Ver

Lo que no te mata te hace más fuerte. Al menos esa es la lección Andy Grammer se propone enseñar. Mientras estaba de...

Poco se sabe sobre el grupo de trabajo económico COVID-19 de Newsom

Frente a una pandemia que ha dejado sin trabajo a millones de californianos y destruido negocios grandes y pequeños, el gobernador Gavin Newsom prometió...

La llorosa Heather Morris reflexiona sobre la impactante relación de Glee entre ella y Naya Rivera

Teniendo esto en cuenta, Morris luego explicó que sintió una "necesidad de conectarse" con los fans y reconoció cuántos de ellos se sienten...