La ola de piratería extraordinaria que golpeó a Twitter el miércoles, lo que lo llevó a silenciar brevemente algunas de sus cuentas más seguidas, está generando preguntas sobre la seguridad y la resistencia de la plataforma en el período previo a las elecciones presidenciales de EE. UU.
Twitter dijo el miércoles por la noche que los piratas informáticos obtuvieron el control de las credenciales de los empleados para secuestrar cuentas, incluidas las del candidato presidencial demócrata Joe Biden, el ex presidente Barack Obama, la estrella de televisión Kim Kardashian y el multimillonario tecnológico y fundador de Tesla, Elon Musk.
En una serie de tuits, la compañía dijo: «Detectamos lo que creemos que es un ataque coordinado de ingeniería social por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internos».
Detectamos lo que creemos que es un ataque coordinado de ingeniería social por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internos.
– Soporte de Twitter (@TwitterSupport) 16 de julio de 2020
Los piratas informáticos «utilizaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre».
Las declaraciones de la compañía confirmaron los temores de los expertos en seguridad de que el servicio en sí, en lugar de los usuarios, se había visto comprometido.
El papel de Twitter como plataforma de comunicación crítica para candidatos políticos y funcionarios públicos, incluido el presidente Donald Trump, ha llevado a temer que los piratas informáticos puedan causar estragos en las elecciones presidenciales del 3 de noviembre o comprometer la seguridad nacional.
Adam Conner, vicepresidente de política tecnológica en el Center for American Progress, un grupo de expertos liberal, dijo en Twitter: «Esto es malo el 15 de julio, pero sería infinitamente peor el 3 de noviembre».
Bitcoin Bounty
Haciéndose pasar por famosos y ricos, los piratas informáticos pidieron a los seguidores que enviaran la moneda digital bitcoin a una serie de direcciones. Por la noche, se realizaron 400 transferencias de bitcoins por un valor combinado de $ 120,000 (aproximadamente Rs. 90,29,300). La mitad de las víctimas tenía fondos en los intercambios de bitcoins de EE. UU., Una cuarta parte en Europa y una cuarta parte en Asia, según la compañía forense Elliptic.
Esas transferencias dejaron un historial que podría ayudar a los investigadores a identificar a los autores del ataque. El daño financiero puede ser limitado porque múltiples intercambios bloquearon otros pagos después de que sus propias cuentas de Twitter fueron atacadas.
El daño a la reputación de Twitter puede ser más grave. Lo más preocupante para algunos fue cuánto tiempo tardó la compañía en detener los tweets malos.
«La respuesta de Twitter a este ataque fue asombrosa. Es la mitad del día en San Francisco, y les toma cinco horas manejar el incidente», dijo Dan Guido, CEO de la compañía de seguridad Trail of Bits.
Un escenario aún peor fue que el fraude de bitcoin fue una distracción para piratería más grave, como la recolección de mensajes directos de los titulares de cuentas.
Twitter dijo que aún no estaba seguro de lo que los hackers pudieron haber hecho más allá de enviar los mensajes de bitcoin.
«Estamos investigando qué otra actividad maliciosa pueden haber realizado o información a la que hayan accedido y compartiremos más aquí cuando la tengamos», dijo la compañía.
Compromisos masivos de cuentas de Twitter a través del robo de credenciales de empleados o problemas con aplicaciones de terceros que muchos usuarios emplean han ocurrido anteriormente.
El ataque del miércoles fue el peor hasta la fecha. Varios usuarios con autenticación de dos factores, un procedimiento de seguridad que ayuda a prevenir intentos de intrusión, dijeron que no tenían poder para detenerlo.
«Si los piratas informáticos tienen acceso al backend de Twitter, o acceso directo a la base de datos, no hay nada que les impida robar datos además de usar esta estafa de tweet como una distracción», dijo Michael Borohovski, director de ingeniería de software en seguridad empresa Synopsys.
© Thomson Reuters 2020