La masiva apropiación de cuentas de alto perfil de Twitter para robar Bitcoins sucedida el día de ayer… fue obra de un empleado interno de la compañía?
El día de ayer las redes y portales de noticias explotaban con la información de que fueron comprometidas cuentas de Twitter de personajes reconocidos mundialmente como Joe Biden, Bill Gates, Elon Musk, Barack Obama o Kim Kardashian . El uso que se les dio a esas cuentas fue el de publicar tweets para generar una estafa con Bitcoins.
Como puede verse, el tweet fraudulento consistió en invitar a los incautos a depositar U$S 1000 en bitcoins en la dirección de una billetara específica, para recibir U$S 2000 a cambio. Por más absurda que suene esta invitación, hubo mucha gente que realizó la transferencia. La publicación por parte de una figura reconocida hizo que mucha gente creyera que el scam era verdadero.
La dirección de la billetera donde se debían depositar los aproximadamente BTC 0.1 es: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh. Hasta el momento de escribir esta nota, la cantidad de transacciones en bitcoins recibida en dicha cuenta es de 377 con un total de BTC 12.86597065. Dado que la cotización del BTC es en este momento de U$S 9.207,70, el total de la suma recibida fue de unos U$S 118.466,-. Obviamente, así como ingresaron los fondos, los mismos fueron transferidos a otras billeteras por lo que el saldo actual es de sólo 1.251.874 satoshis (unos U$S 115).
Existen dos versiones sobre la causa del compromiso de las cuentas. La primera es la versión oficial de Twitter en la que se indica que un grupo de ciberdelincuentes atacaron cuentas o sistemas de los empleados de la compañía y utilizaron sistemas y herramientas internas para tomar control de las cuentas y enviar los tweets fraudulentos.
Pero hay una segunda versión por parte de Motherboard, quien publicó que el grupo de ciberdelincuentes convenció a empleados internos de Twitter a darles acceso a dichas herramientas. Como prueba de ésto, publicó una serie de captura de pantallas de las herramientas internas de Twitter actuando durante el fraude, tomando control de las cuentas y, aún más, modificando las direcciones de email asociadas.
Un efecto secundario indeseado de este fraude, es que los usuarios de Twitter no pueden cambiar sus contraseñas hasta tanto el problema haya sido resuelto. Curioso efecto teniendo en cuenta que una de las primeras medidas que se suelen tomar en el caso de compromisos de cuentas de usuarios, es el de recomendar a todos los usuarios de la plataforma que cambien sus credenciales de acceso.
Como sea, el ataque parece haber sido generado desde adentro. Ya sea que algún empleado haya sido convencido por una buena cantidad de Bitcoins, o ya sea que se haya comprometido la cuenta y los accesos de algún empleado. Al respecto caben destacar 2 aspectos.
El primero es que el empleado objeto del ataque/soborno fue uno con acceso a los sistemas de administración de Twitter. También cabe considerar la posibilidad de que el empleado atacado/sobornado no tuviera privilegios de administrador, pero que una vez dentro, y por movimiento lateral , los atacantes hayan podido obtener accesos a cuentas con privilegios de administrador.
El segundo aspecto es que seguramente el empleado a través de quien se efectuó el fraude, se encuentra como casi todos nosotros, operando desde su casa debido a la pandemia del COVID-19. Y en este caso me pregunto: las medidas de ciberseguridad que tienen implementadas, son las apropiadas?
Twitter no informó si el fraude fue descubierto por sistemas de detección internos o por denuncias de los dueños de las cuentas. Pero aquí aparece otra vez la importancia de usar herramientas de análisis de comportamiento de usuarios. Siempre es pertinente hacer este análisis, pero ahora que los empleados se encuentran trabajando desde sus casas, es crucial. Y sobre las cuentas con privilegios de administrador, es vital. Es que ahora como administradores estamos menos seguros que nunca, de si quien está accediendo a los sistemas es el verdadero administrador o alguien que comprometió su cuenta.
UPDATE 17-Jul-2020:
Twitter está en este momento en una búsqueda desesperada tratando de determinar cómo fue la intrusión sufrida. Por el momento, oficialmente afirman que fueron aproximadamente 130 las cuentas de usuarios comprometidas.
Nota por Carlos Benitez