Por Arnaldo Ochoa   @arnaldochoa


Luego del masivo hackeo de cuentas de alto perfil que buscaba estafar con bitcoins el día de ayer en Twitteren las comunidades de hacking circularon imágenes del panel interno de herramientas presuntamente empleado por los atacantes.

***

Cerca de las 4:00 pm de la tarde (hora de la costa este de los EE UU) sobrevino el caos en Twitter. Tras ser víctimas de un hackeo, cuentas del espacio de criptomonedas, de alto perfil como las de Joe Biden, Barack Obama, Bill Gates, Elon Musk y Jeff Bezos, así como de grandes compañías como Apple y Uber, entre otras, tuitearon ofreciendo giveaways (estafas disfrazadas de obsequio) de Bitcoin.   

Varias horas después del incidente, se compartieron capturas de pantalla de una herramienta interna de administración de usuarios de Twitter en comunidades ligadas al mundo de la piratería informática clandestina (hacking), una especie de panel interno cuya violación permitió el hackeo. Así lo informó el medio VICE a través de la sección Motherboard.

A diferencia de otros casos, en los que los hackers sobornan a trabajadores para aprovechar las herramientas sobre usuarios individuales, en esta ocasión tomaron el control de estas grandes cuentas en Twitter para publicar las estafas con Bitcoin.

Panel interno de Twitter: ¿culpable del hackeo de cuentas?

Motherboard informó que dos fuentes relacionadas con la comunidad del hacking proporcionaron capturas de pantalla de un panel interno que, según afirman, es usado por trabajadores de Twitter para interactuar con las cuentas de usuarios.

Una de las fuentes dijo que el panel se usó para facilitar el tuiteo de estafas de bitcoins desde las cuentas de alto perfil, así como para cambiar la propiedad de algunas cuentas OG (cuentas cuyo identificador es de solo uno o dos caracteres).

Alegando que los tuits violan sus reglas, Twitter eliminó algunas capturas de pantalla del panel y ha suspendido a los usuarios que las han tuiteado.

Tres capturas de pantalla

Una de las capturas de pantalla es de un usuario de Twitter que publica imágenes del panel. La misma muestra detalles de las cuentas de usuarios, reflejando los siguientes estatus: “permanententemente suspendido”, “suspendido”, “comprometido”, “inactivo”, “solo lectura”, “en lista negra de tendencias”, “en lista negra del buscador” y “protegido”. También hay iconos con número de tuits y seguidores, y una especie de tasa de bloqueos.

Captura de pantalla mostrada por un trabajador de Twitter en un tuit ya borrado. Fuente: Motherboard.
Captura de pantalla mostrada por un trabajador de Twitter en un tuit ya borrado. Fuente: Motherboard.

Al momento de redactar la nota, Motherboard informó que la cuenta del usuario fue suspendida.

Otra fuente, esta vez perteneciente a la comunidad de hackeo de tarjetas SIM (swapping SIM) con la que Motherboard se comunicó previamente, proporcionó una segunda captura de pantalla, mostrando el panel y la cuenta de Binance, una de las cuentas hackeadas. La sección revela si el email del usuario fue confirmado, si la cuenta está activa y si el usuario se registró con un correo electrónico de dominio privado o no.

Panel-interno-Twitter-hackeo-2
Segunda captura de pantalla en la que salen detalles de la cuenta de Binance, también hackeada. Fuente: Motherboard.

Por su parte, Under The Breach, la firma de monitoreo y prevención de violación de datos, obtuvo una tercera captura de pantalla, similar a la anterior, y la tuiteó mientras la cuenta administrativa del mencionado trabajador secuestraba varias cuentas. Para el momento de la edición, en el tuit solo aparece un mensaje donde la red social indica que el contenido violó las reglas de Twitter.

En otro tuit, la firma señaló:

Hay fuertes rumores de que un panel de un empleado fue vulnerado.

Dudas e incertidumbre

Aunque ya el equipo de Twitter se pronunció y detalló que se trató de un ataque con técnicas de ingeniería social dirigido a sus empleados, no queda claro si los hackers tomaron control de la cuenta de algún miembro del equipo, o si por medios externos lograron acceder al panel de herramientas especializadas. Al respecto, la fuente de Swapping SIM comentó:

Empleamos un representante que literalmente hizo todo el trabajo por nosotros.

Horas después se conoció a través de una investigación de la firma Whitestream, que parte de los fondos recibidos por los hackers fueron enviadas desde una de las dos direcciones que manejaban hacia billeteras de BitPay y Coinbase. Ambas compañías desactivaron las billeteras:

Horas después del ataque, Twitter tomó diversas medidas para restablecer la seguridad de todo el entorno de la red social, entre las que destacaron las restricciones para publicar direcciones Bitcoin.

A partir de la implementación de estas medidas, DiarioBitcoin informó que diversos usuarios de la plataforma se están viendo afectados negativamente. Uno de ellos es la popular cuenta que informa sobre grandes movimientos entre billeteras, Whale Alert.

Si desea conocer más detalles sobre lo ocurrido, le invitamos a leer la crónica publicada por DiarioBitcoin el día de hoy, en la que presentamos un relato detallado sobre lo que muchos catalogan como “El mayor incidente de seguridad en la historia de Twitter”.

Gobierno de EEUU cita a Dorsey

Una hora después de la violación a las cuentas de Twitter, el senador republicano Josh Hawley escribió una carta al CEO de la compañía, Jack Dorsey.

En dicha comunicación, Hawley le pidió a Dorsey más información sobre el hackeo: ¿Cómo ocurrió, a cuántos usuarios comprometió y si afectó la cuenta del presidente Trump?. Al respecto, el senador escribió:

Comuníquese de inmediato con el Departamento de Justicia y la Oficina Federal de Investigación, y tome todas las medidas necesarias para asegurar el sitio antes de que esta violación se expanda.

Si bien la brecha de seguridad no comprometió la cuenta del presidente estadounidense, entre los perfiles afectados destacan el de Mike Bloomberg, Barack Obama, Bill Gates, Elon Musk y otras personalidades de diversos ámbitos, así como las de plataformas de criptomonedas como Coinbase, Bitfinex, KuCoin y Gemini. Estas últimas, tras resultar vulneradas, publicaron un mensaje donde anunciaban una falsa asociación con CryptoForHealth, una organización que ofrecía devolver el doble de los bitcoins que las personas enviaran para lo cual debían entrar al enlace facilitado.


Lecturas recomendadas


Fuentes: Vice (Motherboard), Twitter, Gizmodo, CoinTelegraph, Archivo de DiarioBitcoin.

Reporte de Arnaldo Ochoa / DiarioBitcoin

Imagen de Photo Mix en Pixabay