La ingeniería social habría sido el arma para hackear Twitter

Para los que solemos tener nuestras cuentas de Internet con la autenticación de dos pasos habilitada, entre ellas la de Twitter, resulta sorprendente una noticia como la de ayer, cuando fueron hackeadas las cuentas de Twitter de Bill Gates, Elon Musk, Barack Obama, Joe Biden y otras personalidades con millones de seguidores en esa red social.

El miércoles en la tarde Twitter relevó que unos delincuentes habían tomado el control de varias cuentas de personalidades, políticos y empresas. Las usaron para enviar unos trinos en los que invitaban al público a enviarles el dinero que tenían en bitcoins a cambio de duplicárselo rápidamente. Los trinos falsos comenzaban con frases como esta: “Le estoy devolviendo a la comunidad”.

Aunque cuesta creer que alguien caiga en semejante trampa, muchas personas se confiaron porque se trataba de trinos que venían de cuentas verificadas (las que tienen el sello azul con un ‘chulo’), y así los ladrones lograron robar 120 mil dólares en bitcoins en unas pocas horas. Entre las cuentas hackeadas también estaban las de Apple, Uber, Jeff Bezos y Mike Bloomberg.

Pero como Twitter permite autenticación de dos pasos, y algunas de las víctimas son personajes del mundo de la tecnología, la pregunta es: ¿se puede violar esa medida de seguridad? La respuesta es sí, a través de ingeniería social. Pero este caso es más grave porque no engañaron a los dueños de las cuentas, sino a los empleados de Twitter.

Primero una explicación: la autenticación de dos pasos es un método que hace más seguras las cuentas en Internet, porque exige que, además de una contraseña, el usuario introduzca un código que le mandan por SMS al teléfono cada vez que intenta ingresar a su cuenta (el código también lo puede mostrar una app de seguridad que uno tiene en el celular).

Eso hace que las cuentas de Internet y los servicios financieros en línea sean muy seguros, ya que, aunque alguien averigüe su contraseña, el delincuente no podrá acceder a su cuenta a menos que tenga su celular para ver el código de verificación.

Uno pensaría que este método de seguridad hace que una cuenta sea inviolable. Pero su punto débil está en la ingeniería social, que consiste en engañar o manipular a una persona para que voluntariamente haga lo que el delincuente necesita, como entregarle información o códigos de acceso.

Hace unos meses publicamos un artículo en donde explicamos cómo los delincuentes se estaban valiendo de esta técnica para hacerse pasar por los dueños de las líneas celulares de las personas, pedir un remplazo de SIM y así vulnerar la autenticación de dos pasos. Como no puede tener el teléfono de la persona, lo que hacen es adueñarse de su línea telefónica y así tienen acceso a los códigos de verificación de las cuentas que tienen autenticación de dos pasos.

En el caso de Twitter la cosa es más grave, porque esa misma red tuvo que admitir que se había tratado de un “ataque de ingeniería social coordinado” mediante el cual engañaron a varios empleados. Esto permitió que los delincuentes tuvieran acceso de administración a los sistemas de Twitter, y así se adueñaron de las cuentas.

De hecho, la primera medida de Twitter cuando se conoció el hackeo fue borrar los trinos falsos, pero después se volvieron a enviar desde las mismas cuentas. Es decir, Twitter perdió momentáneamente el control de su red. Al final lo que hizo fue quitar la posibilidad de enviar trinos desde las cuentas comprometidas durante varias horas.

Algunas publicaciones, como el medio de tecnología estadounidense Ars Technica, tienen otra versión: que podría haber complicidad de un empleado de Twitter, quien les dio acceso a los ladrones (eso ya no sería ingeniería social, sino un simple acto delincuencial). Esto no se ha confirmado.

Este es un duro golpe para Twitter, porque no es la primera vez que les pasa. Hace unos años incluso tuvieron que llegar a un acuerdo con la Comisión Federal de Comercio de Estados Unidos (FTC) tras aceptar que una brecha de seguridad debida a debilidades internas había otorgado a delincuentes acceso a información privada de los usuarios y a sus cuentas.

Además, hay congresistas de Estados Unidos que están pidiendo que Twitter dé explicaciones sobre sus niveles de seguridad, porque el incidente habría podido ser más grave. Por ejemplo, se preguntan medios como The New York Times, ¿qué habría pasado si el hackeo hubiera sido a la cuenta del presidente de Estados Unidos por parte de un país enemigo?

Imagen: Freepik Premium