Un hackeo sin precedentes expone la fragilidad de Twitter

Todo empez¨® hacia las 10 de la noche, hora europea, media tarde en Am¨¦rica. Las cuentas de la red social Twitter de figuras como Elon Musk, Bill Gates, Joe Biden o de empresas como Apple, Uber u otras vinculadas a la gesti¨®n de bitcoin, empezaron a lanzar mensajes similares: ¡°Todo el mundo me pide que devuelva, y ahora es el momento. Doblar¨¦ todos los pagos enviados a mi direcci¨®n bitcoin durante los pr¨®ximos 30 minutos. Env¨ªas 1.000 d¨®lares, te devuelvo 2.000¡å, escrib¨ªa supuestamente, por ejemplo, Bill Gates.

La estafa inclu¨ªa diversos motivos para ¡°devolver¡± dinero: covid-19, agradecimiento o porque era un buen d¨ªa. La suma de los seguidores de todas esas cuentas supon¨ªan cientos de millones de usuarios. La cuenta p¨²blica de la direcci¨®n bitcoin de los atacantes creci¨® aparentemente poco, alrededor de unos 100.000 d¨®lares. Poca gente cay¨® en un timo tan burdo. Pero las preguntas sobre el modo de acceso, el alcance exacto del hackeo y la fragilidad de un sistema que capta la atenci¨®n de millones de ciudadanos de todo el mundo en un instante, siguen sin responderse horas despu¨¦s de la acci¨®n.

La respuesta inicial de Twitter fue demoledora. Adem¨¢s de borrar r¨¢pido los mensajes, aunque alguna cuenta tuite¨® m¨¢s de una vez el timo, Twitter suspendi¨® la capacidad de lanzar mensajes de todas sus cuentas verificadas. Durante cerca de dos horas, en Twitter no pudo tuitear ninguna gran cuenta de organizaci¨®n, medios o celebridad. Tambi¨¦n se vieron afectadas cuentas de usuarios sin verificar.

Esta madrugada Twitter ha dado alg¨²n detalle sobre c¨®mo los atacantes lograron entrar a esas cuentas. No fue una a una a trav¨¦s de sus contrase?as, sino que tuvieron acceso al panel de control de la red social despu¨¦s de haber enga?ado a empleados con un ataque de ingenier¨ªa social, no con una extrema pericia t¨¦cnica. ¡°Acceder desde fuera es de gran complejidad t¨¦cnica y dir¨ªa poco en favor de la gesti¨®n y protecci¨®n de Twitter¡±, dice Sergio de los Santos, director de innovaci¨®n en ElevenPaths, unidad de ciberseguridad de Telef¨®nica, para quien la pregunta ahora est¨¢ en c¨®mo han llegado a enga?ar a un empleado de Twitter: ¡°Podr¨ªan haber sobornado, comprado, atacado a una persona con acceso. Lo interesante ser¨ªa c¨®mo. Si de verdad simplemente han pagado por ello o bien han realizado un ataque t¨¦cnico a esa persona, por ejemplo controlando un ordenador desde el que usara esos paneles. Y esto a su vez se consigue quiz¨¢s envi¨¢ndole con ingenier¨ªa social alg¨²n correo y utilizar alg¨²n ataque t¨¦cnico¡±, a?ade.

El primer gran reto de la investigaci¨®n de Twitter es saber el alcance preciso del acceso. Ser¨ªa extra?o que todo lo que hace un pirata que de repente puede husmear y tuitear dentro una red como Twitter sea lanzar una estafa tan obvia. Los mensajes pudieron ser una tapadera o una cortina de humo para rastrear los mensajes directos de todas esas cuentas o lograr otro tipo de informaci¨®n interna de miles de perfiles. Cuentas que no tuitearon el timo pudieron tambi¨¦n verse afectadas.

¡°Habr¨¢ que analizar todos los accesos que ha habido a la app en cada uno de los diferentes usuarios¡±, dice Selva Orej¨®n, CEO de onBRANDING. ¡°No hace ni un a?o, varios usuarios reportaron a Twitter que se pod¨ªa a?adir y quitar seguidores mediante una vulnerabilidad. El hecho de haber conseguido el dinero, adem¨¢s, puede haber sido una forma de autoadularse desde su ego o buscar ¡®reconocimiento¡¯ del ¨¦xito de cara a afuera¡±, a?ade.

El hackeo esconde otras preguntas igual de importantes. ?Qu¨¦ hubiera ocurrido si en lugar de una estafa las cuentas se hubieran puesto a hablar de guerras y amenazas, o si el d¨ªa escogido hubiera sido una jornada electoral?

No es tampoco la primera vez que empleados de Twitter usan su acceso -a sabiendas o no- para afectar el comportamiento de la red. La cuenta del presidente Donald Trump desapareci¨® brevemente de la red y dos ex trabajadores espiaban desde dentro para Arabia Saud¨ª. La misma seguridad de Twitter hab¨ªa dependido de factores incomprensibles: hace una d¨¦cada, la contrase?a que encerraba paneles de control era la simple palabra happiness, que entonces y hoy es un desastroso descuido en seguridad. Errores en el c¨®digo o en las herramientas internas de acceso pueden arrastrarse hasta que alguien las explota. Se da adem¨¢s la curiosidad a?adida que este mi¨¦rcoles se cumplieron 14 a?os de la fecha de lanzamiento de Twitter, el 15 de julio de 2006.

Conversaciones en foros de la aplicaci¨®n de chateo Discord debat¨ªan y acusaban a miembros de haber logrado, vendido o comerciado con el acceso a Twitter antes incluso de que fuera p¨²blico el problema que hab¨ªa sufrido la red: ¡°No compr¨¦is nada en Twitter por ahora. El panel interno de los empleados fue hackeado y alguien tiene acceso a cualquier cuenta. Ver¨¦is muchas estafas, no piqu¨¦is¡±, dec¨ªa un usuario un par de horas despu¨¦s del inicio de la acci¨®n.

Capturas de pantalla del panel que la red usa para controlar las cuentas empezaron a circular por redes. Twitter suprimi¨® algunas de las cuentas que se dedicaban a colgarlas. Empezaron incluso a circular teor¨ªas sobre qu¨¦ exactamente ese panel permit¨ªa hacer con las cuentas de los usuarios a la hora de promover o no su exposici¨®n. Es dif¨ªcil establecer si esas capturas hab¨ªan sido retocadas o no.

Jack Dorsey, cofundador de Twitter y actual CEO, admiti¨® esta madrugada la dureza de lo ocurrido. Anunci¨® que la investigaci¨®n sigue abierta. Est¨¢ por ver el nivel de transparencia y profundidad que la red es capaz de compartir.

Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.