C¨®mo la guerra por los nombres cortos acab¨® en el mayor ¡®hackeo¡¯ de la historia de Twitter

El 15 de julio docenas de cuentas c¨¦lebres con millones de seguidores empezaron a tuitear una estafa. El empresario Elon Musk, el candidato presidencial dem¨®crata Joe Biden, el rapero Kanye West, el exboxeador Floyd Mayweather o las oficiales de Apple y Uber dec¨ªan que iban a devolver por duplicado todo lo que se les ingresara en bitcoins. En Twitter hab¨ªa habido otros hackeos, incluso el de la cuenta de su fundador, Jack Dorsey. Pero nunca nada as¨ª de masivo. La reacci¨®n de Twitter fue dr¨¢stica: durante un par de horas ninguna cuenta verificada pudo poner ning¨²n mensaje.

Desde aquel d¨ªa ha ido apareciendo un goteo de informaciones, tanto oficiales como especulaciones de medios y expertos, que indican el origen y parte de la magnitud del problema. El detalle m¨¢s importante es que, a pesar de la sensaci¨®n de hundimiento que hubo en la compa?¨ªa, el ataque se produjo en medio de una operaci¨®n lanzada por unos veintea?eros organizados en un foro donde se comercia con todo tipo de cuentas y hackeos.

El d¨ªa antes del hackeo, un tal Kirk escribi¨® en un chat de la plataforma Discord a otro usuario: ¡°Trabajo en Twitter, no se lo digas a nadie, en serio¡±. Fuera cierto o no que Kirk trabajara en Twitter, de alg¨²n modo ten¨ªa acceso a paneles internos de la compa?¨ªa. Su objetivo era ofrecerse para recuperar cuentas suspendidas con su acceso a herramientas de la compa?¨ªa o hacer negocio con las cuentas llamadas OG (original gangster), que son aquellas con nombres de uno o dos caracteres, lo que da mucho cach¨¦ en determinados ambientes. Uno de los fundadores de Twitter usa por ejemplo @ev, que es de hecho su nombre: Evan Williams.

Al d¨ªa siguiente, antes de que por la tarde los famosos empezaran a tuitear la estafa con bitcoin, la operaci¨®n de los j¨®venes para hacerse con las codiciadas cuentas estaba en marcha. Algunas particularmente valiosas como @L, @6 o @W cambiaron de propietario, seg¨²n el especialista en ciberseguridad Brian Krebs. La cuenta @6 pertenec¨ªa al fallecido hacker Adri¨¢n Lamo, que se hizo famoso por delatar a Chelsea Manning, la exmilitar que facilit¨® informaci¨®n militar a Wikileaks y cumpli¨® condena por ello. El padre de Lamo hab¨ªa dejado el control de sus cuentas en redes a un amigo del fallecido que ese d¨ªa cont¨® que alguien hab¨ªa intentado secuestrar la cuenta.

El comprador de esa cuenta era un hacker brit¨¢nico de 21 a?os que vive ahora en Espa?a, Joseph O¡¯Connor, conocido en el mundillo como PlugWalkJoe. El d¨ªa que piratearon la cuenta de Jack Dorsey, el fundador de Twitter, uno de los mensajes que lanzaron llevaba su nombre. Al final @6 volvi¨® a su leg¨ªtimo propietario. Entre esas cuentas hay muchas suspendidas y algunas muy poco activas. La codicia que provocan va probablemente ligada esa languidez.

Todo este trapicheo se produc¨ªa dentro de una comunidad especializada en sim swapping. El sim swapping es la t¨¦cnica que permite tomar el control de un n¨²mero de tel¨¦fono despu¨¦s de acceder a la operadora. Si el mismo atacante ha logrado la contrase?a de otras cuentas, con su n¨²mero puede controlarlas todas. Cuando pide cambiar contrase?a, recibe un sms al n¨²mero de m¨®vil que ahora controla.

Durante estos d¨ªas, Twitter ha confirmado dos cosas clave, aunque sin dar m¨¢s detalles: primero, los tuits de la estafa se mandaron desde sus sistemas internos despu¨¦s de que los hackers se hicieran con las credenciales de uno o m¨¢s de alguno de los m¨¢s de 1.000 trabajadores directos o en empresas subcontratadas con acceso a ese panel de control, seg¨²n Reuters. Segundo, los atacantes accedieron a 130 cuentas, tuitearon desde 45, en 36 entraron en sus mensajes directos y de ocho se descargaron todos los datos de la cuenta a trav¨¦s de la herramienta Your Twitter Data.

Pero hay varias preguntas a¨²n por responder. La fundamental: ?por qu¨¦ en medio de ese trapicheo de cuentas con nombre corto el usuario que controlaba el acceso a paneles internos de Twitter, aparentemente Kirk, decidi¨® ponerse a tuitear una estafa que destapaba el montaje y pon¨ªa fin a su negocio? Una cuenta OG puede pagarse entre 3.000 y 5.000 euros. Pero un acceso permanente a Twitter para recuperar cuentas suspendidas o recuperar nombres determinados es una buena inversi¨®n. Quiz¨¢, ese acceso estaba a punto de cortarse por alg¨²n motivo desconocido. O el atacante necesitaba una inyecci¨®n de dinero. Es un mundo enormemente oscuro.

La realidad es que la cuenta de bitcoin donde hab¨ªa recibido los pagos por el cambio de control de los nombres de uno o dos caracteres acab¨® obteniendo ese d¨ªa alrededor de 150.000 euros extra gracias a la estafa. No solo eso: tambi¨¦n ser¨¢ ahora para su comunidad de hackers la celebridad que revent¨® Twitter durante unas horas. La vanidad en este negocio es un factor esencial. Aunque no le saldr¨¢ gratis: el FBI tiene una investigaci¨®n federal abierta.

Todos los participantes en este montaje para vender cuentas de nombre corto ahora intentan desaparecer, pero queda tambi¨¦n por saber cu¨¢nto tiempo estuvieron dentro de Twitter y cu¨¢ntas otras cuentas en realidad lograron reactivar o cambiar de manos. Gracias a mensajes obtenidos por un hackeo del foro que emplean, Oguser, el especialista en ciberseguridad Krebs ha podido ver c¨®mo uno de ellos presum¨ªa en noviembre de 2019 de conocer a una chica en un departamento de clientes de Twitter que le hac¨ªa ¡°trabajitos¡±.

Para Twitter, la pregunta sigue siendo la misma: ?c¨®mo no hab¨ªa controles para algo tan importante, para evitar que una sola persona pueda hacer estas maniobras? No est¨¢ claro a¨²n c¨®mo el presunto empleado de Twitter cedi¨® sus credenciales: ?peque?o soborno, hackeo, extorsi¨®n, una mezcla de todo? ?hubo m¨¢s de un empleado implicado? 10 d¨ªas despu¨¦s del mayor sabotaje de la historia de Twitter muchas preguntas siguen abiertas.