Hackeo masivo en Twitter; ¿Qué opinan los expertos?

Un hackeo masivo sin precedentes en la red social Twitter ha dejado al descubierto posibles riesgos en seguridad de esta plataforma que afectarían a las cuentas verificadas de numerosas personalidades y compañías, como así ha sido en el caso de los magnates Bill Gates y Elon Musk, el expresidente de EE UU Barack Obama, el músico Kanye West, la empresa de movilidad Uber o la tecnológica Apple, entre otras.

Esta estafa de tipo “giveaway”, cuyo origen y alcance aún están bajo investigación, tenía como objetivo convencer a millones de usuarios de la plataforma del contenido de una serie de mensajes fraudulentos en los que se les instaba a abrir un enlace y pagar una cantidad de dinero en la moneda virtual Bitcoin.

¿Qué opinan los expertos sobre este ciberataque?

Valoraciones de Dmitry Galov y Dmitry Bestuzhev, expertos en ciberseguridad de Kaspersky, acerca del reciente hackeo en Twitter, junto con consejos para identificar estafas y proteger las cuentas en redes sociales. Creemos que pueden aportarte valor si estás tratando este tema:

“Hackear cuentas populares para publicar mensajes de estafa no es una práctica nueva, como tampoco lo es el timo de recobrar por duplicado una donación. Lo que es curioso en este caso es la escala del ataque y el hecho de que el actor se haya apoderado completamente de las cuentas verificadas – se han cambiado sus correos electrónicos, por lo que los propietarios no son capaces de recuperar el acceso con la suficiente rapidez. Esta estafa ha sido extremadamente efectiva – la cantidad recogida de las víctimas equivale ya, en tan solo un día, a más de 120.000 dólares. Creo que podemos extraer dos grandes lecciones de este incidente. En primer lugar, los usuarios tienen que ser conscientes de la existencia de este tipo de estafas y ser cautelosos en las redes sociales; tienen que ser capaces de reconocerlas. En segundo lugar, tenemos que ser muy cuidadosos con nuestros activos online, cualquier cosa crítica tiene que tener, como mínimo, una autenticación de dos factores», comenta Dmitry Galov, investigador de seguridad de Kaspersky.

“Esta gran estafa pone de manifiesto el hecho de que vivimos en una época en la que incluso las personas con conocimientos sobre tecnología pueden caer en las trampas de los estafadores, e incluso las cuentas más seguras pueden ser hackeadas. Según nuestras estimaciones, en sólo dos horas al menos 367 usuarios han transferido alrededor de 120.000 dólares en total a los atacantes. La ciberseguridad es, sin duda, una de las mayores prioridades de las principales plataformas de redes sociales, y se esfuerzan por evitar muchos ataques cada día. 

Sin embargo, ningún sitio web ni software es totalmente inmune a los virus, como tampoco los humanos dejamos de cometer errores. Por lo tanto, cualquier plataforma nativa puede verse comprometida. Hoy en día vemos cómo, junto con los nuevos vectores de ataque, las estafas combinan técnicas antiguas y eficaces, para utilizar un elemento de sorpresa y ganar la confianza de la gente y así facilitar el ataque y atraer a las víctimas a la trampa. Hablamos, por ejemplo, de una mezcla de ataques a la cadena de suministro con ingeniería social. Además, los agentes de la amenaza pueden obtener acceso a la cuenta de la víctima de otras maneras: penetrando en una aplicación de terceros con acceso al perfil del usuario, o utilizando técnicas de fuerza bruta para descubrir su contraseña. 

A pesar de ello, no hay que entrar en pánico sino aceptar que los usuarios de las cuentas de las redes sociales han de ser responsables y llevar a cabo una protección exhaustiva. Este incidente puede servirnos para reevaluar cómo gestionamos nuestros perfiles sociales y su seguridad. Una vez hecho esto, se hará evidente que poseemos conocimientos e instrumentos para reconocer incluso la estafa más elaborada y minimizar su impacto».

Para poder identificar estafas en redes sociales, tenga en cuenta los siguientes factores:

  • El elemento más importante en cualquier intento de fraude es el límite temporal. De esta forma, no sólo se evita que la víctima tenga tiempo para comprobar en profundidad la veracidad de lo que ocurre, sino que también presiona psicológicamente al usuario, haciendo más probable que obvie algún detalle. El miedo a perder una gran oportunidad es capaz de persuadir incluso al más avezado a que asuma un riesgo o caiga en la trampa del atacante.
  • En este caso, la ciberestafa ha sido diseñada a medida de la personalidad del propietario o al tono de voz de la cuenta hackeada, lo que hace que parezca más legítima. Los cibercriminales podrían incluso ir más allá e ilustrar el fraude con un diseño que parezca auténtico o a través de un deepfakeHay que tener en cuenta que las campañas oficiales e incluso las iniciativas individuales de tal envergadura siempre cuentan con documentos prescriptivos como soporte para las promociones, aunque su duración temporal sea muy corta, y que estos se publican fuera de las redes sociales. Asimismo, los aspectos financieros suelen ser más transparentes y no se vinculan a carteras de bitcoin privadas.
  • Recuerde que es muy poco probable que una empresa oficial o una persona reconocida le pida transferir dinero, aunque sea con la intención de ser devuelto a posteriori, o incluso como una broma, debido a las posibles implicaciones fiscales o a nivel de informes financiero.

Para proteger al máximo su cuenta en redes sociales, tenga en cuenta:

  • Es absolutamente esencial tener una contraseña fuerte, pero también debe ser única, de modo que, si un sitio web filtra su credencial, el resto de sus cuentas permanezcan seguras. Para crear una contraseña segura y compleja para cada sitio web, utilice técnicas de memoria o un gestor de contraseñas.
  • Utilice la autenticación de dos factores, en la que el nombre de usuario y la contraseña deban ser confirmados introduciendo un código especial. Además, piense en la posibilidad de no utilizar un mensaje de texto para recibir este código, ya que puede ser secuestrado, sino una aplicación que genere dichos códigos. También puede usar una llave física, conectada al dispositivo mediante un cable USB o NFC.
  • Otra medida de seguridad a poner en marcha es una revisión exhaustiva de las aplicaciones que tienen acceso a la cuenta de Twitter. Estas se pueden encontrar en la configuración de dicha cuenta. Recomendamos revocar el acceso a la cuenta de todas ellas, o de aquellas que no considere completamente protegidas para que, en caso de que sean pirateadas no sea posible acceder a su cuenta.
  • Utilice «Privacy Checker» para ayudar a que sus perfiles de redes sociales sean más privados. Hará que sea más difícil para terceros encontrar información personal.

 

Liviu Arsene, Senior Global Cybersecurity Researcher en Bitdefender, hace la siguiente declaración:

“Los ciberdelincuentes han conseguido tener éxito en su ataque a cuentas de usuarios de Twitter con un perfil muy elevado, que seguramente utilizan autenticación de dos factores. Eso apuntaría a que se ha tratado de un ataque coordinado a los empleados y sistemas de Twitter. Es posible que este ataque sea el resultado de unos ciberdelincuentes que han buscado aprovecharse de las vulnerabilidades del actual modelo de teletrabajo, en el que los empleados tienen más posibilidades de convertirse en víctimas de estafas y de correos electrónicos peligrosos que logran comprometer sus dispositivos y, como consecuencia, los sistemas de la empresa. 

Este ataque a Twitter podría ser el resultado de una campaña de phishing dirigido tipo “spray and pray” de algunos ciberdelincuentes oportunistas que, pudiendo haber causado mucho más daño, se han centrado en una burda estafa en Bitcoins. Es decir, podríamos estar ante unos piratas que quieren dinero rápido y fácil, y que no están dispuestos a trabajar una operación más coordinada y sofisticada de un grupo APT.

Si este es el caso, es probable que más empresas puedan ser atacadas a través de más acciones de phishing dirigido a sus empleados. Dado que el 50 por ciento de las organizaciones no disponía de un plan para dar soporte y migrar rápidamente a sus empleados e infraestructura a un sistema de trabajo en remoto apropiado y seguro en el momento en el que comenzó el periodo de confinamiento, probablemente veremos más violaciones de datos producto de la negligencia de los empleados o de configuraciones incorrectas en la infraestructura tecnológica que se produjeron en el proceso de transición al modelo de trabajo desde casa.

Si bien las grandes organizaciones pueden disponer de fuertes defensas de seguridad para proteger su perímetro, la mayor parte de los profesionales de seguridad temen que las consecuencias puedan ser graves si los ciberdelincuentes deciden explotar el eslabón más débil de la cadena: el componente humano”.

 

Desde Proofpoint, su director sénior de Estrategia de Ciberseguridad en la región de EMEA, Loïc Guézo, recuerda que “los ciberdelincuentes siguen teniendo en el punto de mira a las personas, incluso en escenarios en los que se puedan ver comprometidos ciertos sistemas”. “Según se ha podido constatar a través de la ingeniería social de esta estafa, los atacantes se dirigieron a empleados de la compañía Twitter que disponían de acceso a determinadas herramientas internas, aprovechándose de la confianza que despierta el hecho de que una cuenta esté verificada y del atractivo que supone que te devuelvan el doble de una cantidad de dinero”, añade el experto.

Para que la estafa pareciese auténtica, se estableció un límite de tiempo para llevar a cabo la operación y se puso a disposición de los usuarios una opción de pago fácil con la que conseguir una respuesta aún más rápida. Proofpoint recuerda que los actores de amenazas tienen muy en cuenta la naturaleza humana y, por ello, se enfocan de manera implacable en sacar tajada de esa confianza que tiene la sociedad de hoy en día en los canales digitales.

Este ataque a la plataforma Twitter sería a su vez la evolución de una anterior estafa con criptomonedas que había sido observada a principios de 2018 por el equipo de investigación de Proofpoint. Este tipo de fraudes tiene como blanco de los ataques a usuarios de Ethereum y Bitcoin, a quienes se les suele pedir que envíen una pequeña cantidad de dinero a cambio de un supuesto pago mucho mayor en la misma divisa digital. Si bien los ciberdelincuentes distribuyen con bastante frecuencia malware de criptominería o lanzan ataques de phishing de credenciales en monederos o cambios con criptomonedas, estas estafas “giveaway” se posicionan como una nueva táctica mediante la cual robar estas divisas, algo que recuerda a los fraudes “419” tan comunes hace unos 10 o 15 años. Esto viene a refrendar el hecho de que los atacantes continúan buscando nuevas formas con las que explotar el denominado factor humano, y que también las personas son propensas a caer víctimas de cualquier estafa que les prometa conseguir fácilmente commodities como criptomonedas.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba