Las cuentas en Twitter de Joe Biden, Barack Obama, Bill Gates y docenas de otras celebridades y marcas fueron comprometidas el 15 de julio en un aparente fraude con bitcoins.
Los hackers utilizaron la ingeniería social para atacar a los empleados de Twitter y obtener acceso a cuentas de alto impacto, desde las que enviaron tuits ofreciendo US$2 mil por cada US$1 mil enviados a una dirección anónima encriptada de Bitcoin. Finalmente, Twitter borró rápidamente los mensajes y bloqueó las cuentas para investigar. Esto evitó que los usuarios verificados enviaran tuits durante varias horas.
“El último hackeo de Twitter parece haber sido llevado a cabo utilizando una cuenta de la compañía con acceso a sistemas clave, incluyendo un tablero interno que permitía al hacker controlar las cuentas de Twitter”, explicó Mark A. Gregory, profesor asociado de Ingeniería de Redes en la Escuela de Ingeniería de la Universidad RMIT, en Victoria, Australia.
Este ataque ha suscitado preocupaciones de seguridad en los usuarios de redes sociales, preguntándonos cómo sabemos que nuestras cuentas e información están seguras. “Twitter tiene una función que te permite ver cuáles dispositivos se utilizaron para acceder a tu cuenta y la ubicación de los mismos durante las sesiones de Twitter”, afirmó Gregory. Y añadió: “Esta información está en la configuración de la cuenta, los datos y permisos, las aplicaciones y las sesiones. Revisa esta configuración para ver si se ha accedido a Twitter desde un dispositivo o en una ubicación desconocida y, en caso afirmativo, suspende la cuenta hasta que cambies la contraseña. Recomiendo activar la autenticación de dos factores para reducir la posibilidad de que se acceda a las cuentas pirateadas”.
Sin duda, el ataque contra las grandes cuentas de Twitter es de una magnitud que no se había visto recientemente. “Este es un evento muy significativo y demuestra lo importante que es asegurar que el acceso inadvertido a sistemas clave no pueda ocurrir a través de internet”, aseguró Gregory.
“Para que este hackeo haya sucedido, parece que ha habido una larga lista de errores de seguridad básicos cometidos por Twitter. Esta compañía debería ser investigada para identificar por qué los piratas fueron capaces de acceder y llevar a cabo el hacking a través de internet desde un lugar desconocido”, finalizó.
3 preguntas a…
Keith Martin, profesor en el Grupo de Seguridad de la Información Royal Holloway, en la Universidad de Londres, y autor de “Criptografía: La clave de la seguridad digital, cómo funciona y por qué es importante”.
¿Cómo ocurrió el último ataque a Twitter?
Parece ser que se trata de un “ataque interno”, lo que significa que fue facilitado por los empleados de Twitter que pudieron eludir las medidas de seguridad internas. Es muy probable que los autores reales no trabajen para Twitter y probablemente engañaron a los empleados para que les ayudaran sin querer. Un ejemplo de cómo hacerlo es el llamado “ataque de phishing”, en el que se envía un correo electrónico que a primera vista parece ser una petición inocente de personas como nuestro banco, pero que en realidad es un intento de persuadirnos para que revelemos una contraseña crítica a un atacante.
¿Cómo sabemos que nuestras cuentas e información están seguras si las de esta importancia fueron comprometidas?
No lo sabemos. Twitter es una empresa que parece tomarse la seguridad en serio y ha sido comprometida, así que esta es una advertencia para todos. Asegurar la información digital es difícil. Aunque la ley proporciona cierta protección, al final simplemente tenemos que confiar en las organizaciones para que cuiden nuestra información. El único control que realmente tenemos es elegir con cuáles organizaciones hacemos negocios.
¿Qué tamaño tenía este hacking? ¿Ha ocurrido algo similar antes?
Sin duda se trata de un hackeo de alto perfil, pero no es nada nuevo. Todas las organizaciones del planeta dependen ahora de las comunicaciones digitales y muchas han sufrido graves violaciones de datos como esta. Es por esta misma razón que muchos países, como los miembros de la Unión Europea, han introducido regulaciones estrictas para proteger los datos de los clientes.