Estafadores hackearon este miércoles las cuentas de Twitter de magnates de la tecnología, figuras políticas y grandes empresas en un aparente fraude con Bitcoin.
La estafa incluyó tuits falsos de Barack Obama, Joe Biden, Mike Bloomberg y varios multimillonarios del sector tecnológico, como el director general de Amazon Jeff Bezos, el cofundador de Microsoft, Bill Gates, y el presidente de Tesla, Elon Musk.
Las publicaciones ofrecían enviar 2,000 dólares por cada 1,000 dólares que fueran depositados en una dirección de bitcoin. Otros medios como CNN también reportan que la cuenta del cantante Kanye West fue intervenida.
Twitter emitió un comunicado en el que señaló que estaba al tanto de un “incidente de seguridad que afecta cuentas de Twitter”. La compañía informó que está investigando el hecho y que trabaja para solucionarlo, además de que prometió una actualización a la brevedad.
Bezos, Gates y Musk se ubican entre las 10 personas más ricas del mundo y cuentan con decenas de millones de seguidores en Twitter.
Los aparentes tuits falsos fueron borrados poco después, aunque The Associated Press logró tomar capturas de pantalla de varios de ellos antes de que desaparecieran.
GRAVE FALLO DE SEGURIDAD
Se desconoce, por el momento, cómo lo han logrado pero es sin duda el mayor fallo de seguridad que ha sufrido la red social desde sus inicios. Twitter acompaña cada tweet con un mensaje con la herramienta que se usó para publicarlo y en todos los casos parecen enviados desde la web, no desde una app.
La técnica parece diferente, por tanto, a la que han aprovechado algunos atacantes en ocasiones anteriores, y que usaba los certificados de desarrollador ya abandonados de clientes de terceros o apps a las que el usuario había dado su consentimiento para acceder a la red social.
Cameron Winklevoss, uno de los responsables del servicio de intercambio de criptodivisas Gemini, explica que el ataque ha afectado a cuentas que tienen incluso la autenticación de doble factor activada.
Esta capa de protección adicional obliga a los usuarios a verificar su identidad mediante un código enviado al teléfono o el correo cuando acceden al servicio desde un nuevo dispositivo o una nueva ubicación.
Esto significa que tampoco se trata de un robo de las contraseñas de estas cuentas y podría apuntar a un serio fallo de seguridad en la red social, un fallo desconocido que permite a cualquier asaltante escribir como si fuera otra persona.
Varias cuentas afectadas han descubierto, de hecho, que la dirección de correo asociada a su cuenta habría sido cambiada, lo que podría apuntar a un ataque directo a los servidores y bases de datos de Twitter. Para mitigar el alcance del ataque, Twitter llegó a prohibir temporalmente tuitear desde cuentas verificadas. Es la primera vez en la historia que la compañía toma una medida tan drástica.
PESCANDO BITCOINS
En este caso, lo que los atacantes buscaban eran Bitcoins. Aunque los mensajes estaban redactados de diferentes formas en todos se pedía al usuario que enviase sus criptomonedas a una dirección. A cambio, supuestamente, recibiría esa cantidad doblada.
Aunque parece una estafa poco sofisticada y bastante obvia, al cierre de este artículo la dirección registraban más de 350 transferencias por un valor superior a 118.000 dólares.
Varios analistas de seguridad apuntan a que los atacantes podrían haber hecho mucho más dinero manipulando la bolsa con los mensajes lanzados desde estas cuentas o causado una grave crisis diplomática poniendo en boca de líderes mundiales cualquier mensaje.
¿Qué es el hackeo?
Se refiere a todo acto vinculado con ataques a los ordenadores, teléfonos inteligentes, tablets o redes digitales para tomar el control de las mismas a modo de protesta, para obtener dinero, recopilar información (espionaje), e incluso solo por la diversión del desafío que representa descubrir las vulnerabilidades de un sistema informático.
Según indica la página web Malwarebytes, el hackeo por lo general es técnico por naturaleza (como crear publicidad maliciosa que extiende el malware en un ataque fortuito que no requiere interacción por parte del usuario). El sitio web agrega que los hackers también pueden utilizar la psicología para engañar al usuario y que haga clic en un archivo adjunto malicioso o proporcione sus datos personales.
