Twitter: la historia del hackeo más sonado del año

Hace un par de semanas nos sorprendimos todos al saber del hackeo de Twitter. Fue, durante días, tema de conversación, y las noticias al respecto se mezclaron con teorías, rumores, hipótesis, datos que iba dando la propia red social… fueron días interesantes, pero en los que no resultó nada fácil separar todo el ruido para conseguir quedarse solo con la información realmente útil.

La pregunta que más se escuchó durante los primeros días fue, claro, ¿quién está detrás del hackeo? Twitter, que sí que informó sobre otros aspectos relacionados con el ataque, no facilitó dato alguno al respecto, lo que sirvió para alimentar la teoría, principal hipótesis durante varios días, de que los atacantes habían contado con la colaboración voluntaria de un empleado de la compañía, que habría recibido una contraprestación económica. Una traición desde dentro, algo que duele todavía más que ser víctima de un ataque externo.

Recordemos que, en su parte más visible, el hackeo de Twitter consistió en el secuestro de cuentas muy, muy populares, tanto de marcas (Apple, Tesla, etc.). como de personalidades públicas (Barack Obama, Jeff Bezos, Bill Gates, etcétera). Una vez tomado el control de las mismas, se emplearon para publicar mensajes en los que, mediante el engaño, se alentaba a sus seguidores a enviar dinero a un determinado monedero de bitcoin. En teoría, quienes lo hicieran lo recibirían de vuelta, multiplicado por dos.

En el tiempo transcurrido entre la publicación de los mensajes y la eliminación de los mismos por parte de Twitter, una vez que los responsables de la red social tuvieron conocimiento de lo que estaba ocurriendo, los ciberdelincuentes se hicieron con alrededor de 180.000 dólares y, por el camino, se llevaron también por delante muchos puntos de la imagen pública de la red social, que aún hoy sigue estando bajo la lupa tras lo ocurrido.

Tras varios días de investigaciones, durante los cuales parte de los usuarios de la cuentas no pudieron recuperar el control de las mismas (se aplicaron múltiples protocolos de seguridad para garantizar que las cuentas eran 100% seguras), Twitter, además de disculparse por lo ocurrido y afirmar haber tomado medidas para evitar incidentes similares en el futuro, publicó un resumen en cuatro números de lo ocurrido:

• 130 cuentas atacadas por los ciberdelincuentes.
• 45 empleadas para enviar tweets fraudulentos.
• 36 cuentas cuyos mensajes directos fueron espiados por los ciberdelincuentes.
• 8 cuentas de las que se descargó el historial íntegro de mensajes (ninguna de ellas verificada).

 

Piratas adolescentes vs Twitter

La contundencia del golpe nos hizo pensar a todos, en un primer momento, que tras el ataque a Twitter se encontraría alguna organización cibercriminal más o menos conocida, prolija en recursos y, sobre todo, con otros objetivos distintos a, simplemente, obtener un buen puñado de bitcoins. Una teoría que parecía confirmarse por el alto perfil de algunas de sus víctimas: políticos de primera línea, empresarios con un gran reconocimiento, empresas de primer orden… por momentos casi parecía más hacktivismo que delito económico.

Y en ese punto nos encontrábamos la mayoría, cuando primero el investigador Brian Krebs, y posteriormente el diario The New York Times, apuntaron en una dirección muy distinta, y es que tras el ataque a Twitter se encontraban cuatro jóvenes que por norma general actúan por separado, que su motivación era puramente económica y que, en contra de lo supuesto inicialmente, no habrían contado con la colaboración de un empleado de la red social.

Todo habría empezado en un servidor de Discord, un servicio similar a Slack (y no es la última vez que mencionaré aquí este servicio) pero especialmente diseñado para la comunidad de gamers y streamers. En el mismo, una persona que permanece sin identificar, y que empleaba el nombre de usuario «Kirk», inició una conversación con otro usuario que empleaba el apodo «LOL». En la misma, Kirk le dijo a LOL que era empleado de Twitter y se mostró interesado en realizar algún tipo de ataque a la compañía.

LOL, según afirma en declaraciones al N.Y. Times, receló de que Kirk realmente fuera un trabajador de Twitter, principalmente por la actitud tan hostil que mostraba hacia la compañía. Sin embargo, lo que sí que pudo comprobar es que contaba con acceso a determinadas herramientas administrativas de la red social. Herramientas con las que podía obtener acceso a un bien muy, muy preciado: las cuentas de usuario con solo uno o dos caracteres.

@a

En este punto entran los otros dos jóvenes supuestamente implicados en la historia (si bien parece que la relación de uno de ellos con los otros tres es marginal, y que no participó en el hackeo de Twitter), “Ever so anxious” y «PlugWalkJoe», un joven británico residente actualmente en España. El denominador común de tres de ellos es, precisamente, el interés por este tipo de cuentas, por las que se pueden pagar enormes sumas, tanto legalmente como en el mercado negro.

Las herramientas administrativas de Twitter a las que Kirk demostró tener acceso eran, sencillamente, perfectas para tal fin. Tanto que antes del hackeo, dedicaron un tiempo a realizar varias pruebas con cuentas de Twitter con un solo carácter, dos o tres, o alguna palabra particularmente atractiva. Además, realizaron algunas operaciones económicas mediante bitcoins, que son uno de los elementos que han permitido comprobar la veracidad del relato de estos jóvenes.

Entre las operaciones, ofrecieron sus servicios a una persona interesada en obtener la cuenta de usuario @y de Twitter, por la que estaba dispuesto a pagar 1.500 dólares. Además, Ever so anxious consiguió el control de la cuenta @anxious (ahora suspendida por la red social). Todo esto ocurrió solo horas antes del hackeo que copó los titulares de prensa de todo el mundo.

Es entonces, cuando se acerca el momento del gran golpe, después de que los atacantes accedieran a mensajes privados y descargaran el historial de mensajes de algunas de las cuentas comprometidas, cuando se corta la comunicación entre Kirk, LOL, y Anxious (PlugWalkJoe ya estaría fuera de la operación). En ese momento es cuando Kirk realiza la publicación de los famosos tweets, y empieza a recibir ingresos en el mismo monedero que, horas antes, había empleado en las operaciones con los otros implicados.

Y ahí acaba la comunicación entre ellos, pues según afirman al diario neoyorquino, intentan ponerse en contacto con Kirk pero ya no obtienen respuesta alguna. En una comunicación entre LOL y Anxius, este último se lamenta del poco rédito obtenido por el hackeo, frente a las ganancias logradas por Kirk.

Por su parte, PlugWalkJoe, además de desvincularse del hackeo a Twitter, afirma que Kirk en realidad no era un empleado de la red social, sino que había obtenido las credenciales de acceso a las herramientas administrativas infiltrándose en el Slack de la compañía. Algo que devolvería la credibilidad de los empleados de Twitter, pero que pondría muy en entredicho sus políticas de seguridad, al exponer unas credenciales tan sensibles en un espacio cuya seguridad no estaba especialmente controlada.

La entrada Twitter: la historia del hackeo más sonado del año es original de MuySeguridad. Seguridad informática.