La mañana del 15 de julio de 2020 empezó de manera normal para Twitter; pero horas después, cuando el sol se empezaba a ocultar en la costa californiana, se cerraba uno de los días más devastadores para la red social. La compañía había sido atacada, y peor aún, los atacantes habían roto uno de los vínculos fundamentales con sus usuarios: la confianza. 

Este ataque a Twitter fue el primero, pero sirve como el recuerdo macabro de las consecuencias que puede tener una ciberseguridad débil. Incluso más importante, el hack no estuvo basado en malware o en explotar vulnerabilidades. El pilar principal del ataque estuvo en la ingeniería social, en atacar la ingenuidad humana y aprovechar que no se puede instalar un antivirus para hacerla más robusta.    

Los hechos

Aunque el ataque perpetrado en su forma más pública sucedió el 15 de julio, la operación comenzó alrededor de 24 horas antes, en la tarde del 14. Uno o varios atacantes hicieron llamadas por teléfono a varios trabajadores de Twitter, y se hicieron pasar por personal del departamento de soporte. Con los trabajadores en la línea, los atacantes afirmaban que estaban respondiendo a un problema que había sido reportado en la VPN que maneja Twitter internamente para trabajo remoto. 

El uso de VPN se ha convertido en una de las herramientas más importantes para las compañías, principalmente porque pueden encriptar datos remotos que viajan por Internet pero que se conectan a redes internas y privadas –lo que se conoce como intranet–. “En efecto, el aumento de las conexiones que están teniendo las compañías es una consecuencia del teletrabajo y si bien es cierto que no generan riesgo para una compañía, sí son aprovechadas por los ciberdelincuentes para camuflar sus amenazas. Tal es el caso en el que los atacantes aprovechan y explotan las vulnerabilidades de los concentradores de VPN”, nos dice Ignacio Triana, gerente de Ingeniería MCA de Trend Micro.

Horas antes del ataque principal, uno de los atacantes filtró imágenes de la consola de administración de Twitter. Imagen: Twitter

Seguido a esto, los atacantes dirigieron a los trabajadores a sitios web falsos que eran imitaciones de las páginas oficiales de Twitter. En este punto, muchos trabajadores caían en cuenta de que estaban siendo víctimas de un ataque que se conoce como phishing. El objetivo principal, en muchos casos, es robar credenciales y cuentas de distintos servicios en Internet, como bancos, redes sociales, almacenamiento, entre otros. 

Los sitios falsos a su vez les transmitían los datos de las credenciales a los atacantes, en tiempo real. Twitter requiere a sus empleados el uso de autenticación con múltiples factores, lo que hace que necesiten un código único y autogenerado cada vez que acceden a su cuenta corporativa. Dado que los hackers están introduciendo las credenciales en tiempo real, el trabajador acepta la notificación de seguridad que genera el sistema y les da acceso a los atacantes. 

Aunque no se conoce un número exacto, lo cierto es que algunos empleados de Twitter reportaron el ataque a la compañía, pero por lo menos una persona creyó en las mentiras de los atacantes. Según el reporte oficial del estado de Nueva York, la primera cuenta comprometida no contaba con permisos para tomar control de las cuentas de usuarios. Pero la información vale oro, y los hackers utilizaron el acceso para aprender sobre los sistemas internos de Twitter. 

El 15 de julio, en horas de la mañana, los atacantes realizaron su segundo ataque. Esta vez, entendiendo mejor los sistemas de Twitter, lograron obtener cuentas del equipo de soporte con la capacidad de tomar el control de cuentas de usuarios. La bomba estaba plantada y Twitter no lo sabía. 

Las víctimas

Hacia las 2 de la tarde, los atacantes empezaron a tomar el control de cuentas de usuarios originales u ‘OG’. Estas cuentas se destacan por ser de las primeras en ser creadas en Twitter y que tienen nombres de usuarios como @xx, @heart, @girl, entre muchos otros. Este tipo de cuentas son altamente codiciadas, y por esta razón los atacantes las vendieron utilizando bitcoin como moneda. 

Hasta aquí el ataque era importante, pero no catastrófico. Menos de una hora después, los hackers empezaron a tomar control de cuentas verificadas de personas con perfiles públicos y con mucha influencia. La primera cuenta fue la de @binance, uno de los mercados de cambio de criptomonedas más importantes. Los atacantes publicaron un tuit en el que la empresa prometía doblar el valor de bitcoins que le dieran. Por ejemplo, si les pago 0,1 BTC, ellos me devuelven 0,2 BTC.

“No es un fenómeno reciente el uso de la ingeniería social para lograr aprovechar el descuido de las personas –nos dice Ignacio Triana, de Trend Micro–. Sin embargo, es un método que evoluciona y aprovecha la actualidad y temas de interés para los usuarios de redes sociales”.

La cuenta del intercambio de criptomonedas Coinbase fue una de las víctimas del ataque. Imagen: Twitter

Aunque para muchas personas este tipo de cosas huele de lejos a fraude, la percepción es distinta si la campaña la hacen las cuentas de Twitter de algunos de los intercambios de criptomonedas más importantes. Coinbase vino después de Binance, seguido de Gemini Trust y Square –de la cual Jack Dorsey, cofundador y CEO de Twitter, también es CEO–. La situación se volvió incluso peor cuando cuentas verificadas con millones de seguidores fueron atacadas. 

Las cuentas de Apple, Bill Gates, Back Obama, Elon Musk, Joe Biden, Uber, Kanye West, Floyd Maywather Jr. y Jeff Bezos hacen parte de las más de 130 que hicieron tuits relacionados con el fraude. En total, los atacantes lograron reunir 118.000 dólares –unos 430 millones de pesos colombianos– al final del ataque. Peor aún, tuvieron acceso a los mensajes privados de 36 de las 130 cuentas, y 7 tuvieron todos sus datos descargados utilizando ‘Your Twitter Data’. Your Twitter Data es un archivo completo de toda la actividad de Twitter, incluyendo ubicaciones registradas, tuits, mensajes privados y dispositivos.

Frente a la incapacidad de Twitter de poder reaccionar a tiempo, los mercados de Bitcoin bloquearon en minutos las direcciones que estaban atadas al fraude. Gracias a esto, Coinbase reportó haber prevenido 5.670 transferencias con un valor aproximado por encima de 1,2 millones de dólares. 

Incluso con la atención que reunió, Twitter se limitó a comentar hacia las 5 de la tarde que había descubierto una vulnerabilidad y que estaba trabajando para arreglarla. Por 3 horas, todas las cuentas verificadas de la plataforma fueron incapaces de hacer publicaciones. A las 8:41 p.m., Twitter anunció que estas cuentas podrían volver a publicar, aunque con funcionalidad limitada.  

Los victimarios

Aunque el ataque muy seguramente fue perpetrado por un grupo de personas, las autoridades encontraron que todos los caminos llevaban a un mismo nombre: Graham Ivan Clark. Clark ni siquiera es mayor de edad, y al momento de ser arrestado en agosto de 2020 las autoridades y los oficiales de Twitter se encontraron con una realidad difícil de digerir: el hack más grande de la historia de Twitter había sido realizado por un adolescente de 17 años. 

Según investigaciones de The New York Times, Clark ha tenido tendencias hacia este tipo de conductas desde que tenía 10 años. A esa edad, solía jugar Minecraft con sus amigos, pero según ellos él también era conocido por llevar a cabo fraudes para robar dinero real de otros jugadores. A sus 15 años se había unido a un foro de hackers en línea, y a los 16 ya se había involucrado en el mundo de Bitcoin y participó en el robo de 856.000 dólares en esta criptomoneda. 

Graham Ival Clark de 17 años fue la mente detrás del ataque de Twitter. A su lado, una imagen de los mensajes falsos que se publicaron en Twitter. Imagen: Hillsborough County Sheriff’s Office en Twitter

Clark vivía en Tampa, una ciudad en Florida. Su arresto levantó fuertes cuestionamientos en el mundo de la tecnología. Después de todo, un joven de 17 años fue capaz de vulnerar los secretos y la seguridad de una de las compañías más grandes de Silicon Valley. La investigación ha apuntado a que Clark trabajó en conjunto con otras dos personas, una de ellas, un chico de 16 años del estado de Massachusetts.

Las habilidades como líder que tienen Clark sirvieron para que se convirtiera en la cabeza de toda la operación que puso de rodillas a un gigante de Silicon Valley. Mucho más importante que sus habilidades con los computadores, el macabro genio de Clark estuvo en la manipulación social, atacando la ingenuidad de las personas. Hace apenas 2 meses, el joven aceptó su culpabilidad en los hechos y fue sentenciado a 3 años de prisión y 3 más bajo libertad condicional.

Triana recalca: “Es muy importante la capacitación de las personas, el entender que no a todos los enlaces publicados se debe hacer clic, porque de manera insospechable se puede estar descargando software malicioso al dispositivo para posteriormente robar información personal, información de cuentas bancarias, credenciales, etc.”.  

Las cenizas que quedan

En el ambiente de técnicos de computadores y desarrolladores, una palabra que surge a menudo es pebkac. Este es un acrónimo en inglés que significa Problem exists between keyboard and chair (existe problema entre el teclado y el teclado). Pebkac se refiere a que existe un error con el componente biológico de los computadores: nosotros, los usuarios.

Elementos como la autenticación de múltiples factores (2FA) o el uso de VPN son vulnerables al componente humano. En el caso de Twitter, el uso de la VPN que trajo el ambiente de pandemia significó también un aumento en el riesgo de ataques. Aunque 2FA es relativamente segura, por lo general los sistemas críticos remotos tienen que estar avalados por un token físico que se conecta al computador del trabajador.

En Colombia, muchas entidades del gobierno –especialmente las relacionadas con el presupuesto del país– hacen uso de este tipo de token físicos para evitar ataques como el de Twitter. El hecho de que Twitter no implementara este tipo de verificaciones para cuentas de alto nivel dejó un hueco importante en la seguridad del sitio que le abrió la puertas a la ingeniería social de Clark y sus socios. Los ataques de phishing han subido hasta un 220 % en el pico de la pandemia, y si Twitter puede caer, cualquiera de nosotros también. 

Incluso más importante que cualquier sistema o programa que pueda ser integrado, en muchos casos el componente más débil de la cadena de ciberseguridad es el humano. “Así como se entrena a los empleados para ingresar y usar los recursos de la compañía, es imprescindible que los empleados sepan y entiendan cómo proteger la compañía y esos recursos”, afirma Ignacio de Trend Micro. 

El hack de Twitter ha servido como un jalón de orejas, no solo para la compañía sino para la industria y el mundo en general. La ciberseguridad va mucho más allá de las herramientas que sean implementadas, pasando especialmente por todas las personas que hacen parte de una empresa. El ataque a Twitter no fue ni será el único, pero, ¿dónde será el siguiente?

Imagen principal: Joshua Hoehne en Unsplash.