Las cuentas verificadas en Twitter de Bill Gates, Barack Obama, el músico Kanye West, Joe Biden, Elon Musk, Kim Kardashian, Warren Buffet, Jeff Bezos o Mike Bloomberg, entre otros, han sido hackeadas  para llevar a cabo estafas con criptomonedas. El ciberataque también ha afectado a Uber y a Apple, entre otras empresas.

Las cuentas hackeadas han publicado ‘tuits’ similares solicitando donaciones vía bitcoin. «Todos me están pidiendo que devuelva y ahora es el momento», indicaba el mensaje de Gates, recogido por la cadena de televisión CNN. El ‘tuit’ prometía doblar pagos en una dirección de bitcoin. «Me envías 1.000 dólares, te devuelvo 2.000», rezaba el mensaje.

Por su parte, la cuenta de soporte técnico de Twitter ha trasladado en un mensaje en la red social que la compañía es «consciente» de «un incidente de seguridad». «Estamos investigando y tomando medidas para solucionarlo.», señala.

Después de que el ataque comenzara, la compañía ha restringido la capacidad de compartir mensajes en Twitter de las cuentas verificadas. «Es posible que no pueda tuitear o restablecer su contraseña mientras revisamos y abordamos este incidente», ha informado Twitter en otro mensaje.

Twitter admite que sus sistemas internos fueron comprometidos por piratas informáticos, ya que el mayor incidente de seguridad de su historia no podría haberse llevado a cabo sin acceso a las herramientas de la empresa y los privilegios de los empleados.

«Hemos detectado lo que creemos que es un ataque coordinado de ingeniería social llevado a cabo por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internas», explica la compañía en su cuenta de la red social

«Sabemos que utilizaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre», añade.

La compañía ha limitado las funciones de varias cuentas, así como todas las verificadas, incluso aquellas que no parecían haber estado comprometidas. Y ha bloqueado las cuentas afectadas. Restaurará el acceso a sus propietarios «solo cuando estemos seguros de que podemos hacerlo de forma segura».

Twitter también ha subrayado que ha tomado «medidas importantes para limitar el acceso a los sistemas y herramientas internas», mientras continúa investigando el ataque informático.

La gran cantidad de cuentas importantes que han sido hackeadas convierte a este episodio en el mayor incidente de seguridad de la historia de Twitter. El año pasado, la cuenta del director ejecutivo de Twitter, Jack Dorsey, también fue hackeada.

El incidente ha llamado la atención del FBI, que es «consciente» de lo ocurrido y que interpreta que «las cuentas parecen haber sido comprometidas para perpetuar el fraude en criptomonedas». Aconsejan a los usuarios que no se exponga a ser «víctima de esta estafa» enviando ninguna cantidad de dinero.

Análisis de Proofpoint

Desde Proofpoint, su director sénior de Estrategia de Ciberseguridad en la región de EMEA, Loïc Guézo, recuerda que “los ciberdelincuentes siguen teniendo en el punto de mira a las personas, incluso en escenarios en los que se puedan ver comprometidos ciertos sistemas”. “Según se ha podido constatar a través de la ingeniería social de esta estafa, los atacantes se dirigieron a empleados de la compañía Twitter que disponían de acceso a determinadas herramientas internas, aprovechándose de la confianza que despierta el hecho de que una cuenta esté verificada y del atractivo que supone que te devuelvan el doble de una cantidad de dinero”, añade.

Para que la estafa pareciese auténtica, se estableció un límite de tiempo para llevar a cabo la operación y se puso a disposición de los usuarios una opción de pago fácil con la que conseguir una respuesta aún más rápida. Proofpoint recuerda que los actores de amenazas tienen muy en cuenta la naturaleza humana y, por ello, se enfocan de manera implacable en sacar tajada de esa confianza que tiene la sociedad de hoy en día en los canales digitales.

Este ataque a la plataforma Twitter sería a su vez la evolución de una anterior estafa con criptomonedas que había sido observada a principios de 2018 por el equipo de investigación de Proofpoint. Este tipo de fraudes tiene como blanco de los ataques a usuarios de Ethereum y Bitcoin, a quienes se les suele pedir que envíen una pequeña cantidad de dinero a cambio de un supuesto pago mucho mayor en la misma divisa digital. Si bien los ciberdelincuentes distribuyen con bastante frecuencia malware de criptominería o lanzan ataques de phishing de credenciales en monederos o cambios con criptomonedas, estas estafas “giveaway” se posicionan como una nueva táctica mediante la cual robar estas divisas, algo que recuerda a los fraudes “419” tan comunes hace unos 10 y 15 años. Esto viene a refrendar el hecho de que los atacantes continúan buscando nuevas formas con las que explotar el denominado factor humano, y que también las personas son propensas a caer víctimas de cualquier estafa que les prometa conseguir fácilmente commodities como criptomonedas.

Esta estafa de tipo “giveaway”, cuyo origen y alcance aún están bajo investigación, tenía como objetivo convencer a millones de usuarios de la plataforma del contenido de una serie de mensajes fraudulentos en los que se les instaba a abrir un enlace y pagar una cantidad de dinero en la moneda virtual Bitcoin.

Estas estafas “giveaway” han tenido su pico más alto de incidencia en abril de este año, aunque normalmente tienen su origen en cuentas falsas de Twitter creadas para generar clics y retuits. Dado el repunte en cuanto a valor de estas divisas digitales y el interés que estas generan entre los usuarios, será sin duda uno de los apartados en los que poner atención en los próximos meses.

Análisis de Bitdefender

Liviu Arsene, Senior Global Cybersecurity Researcher en Bitdefender, destaca que “los ciberdelincuentes han conseguido tener éxito en su ataque a cuentas de usuarios de Twitter con un perfil muy elevado, que seguramente utilizan autenticación de dos factores». «Eso apuntaría a que se ha tratado de un ataque coordinado a los empleados y sistemas de Twitter. Es posible que este ataque sea el resultado de unos ciberdelincuentes que han buscado aprovecharse de las vulnerabilidades del actual modelo de teletrabajo, en el que los empleados tienen más posibilidades de convertirse en víctimas de estafas y de correos electrónicos peligrosos que logran comprometer sus dispositivos y, como consecuencia, los sistemas de la empresa», añade.

 «Este ataque a Twitter podría ser el resultado de una campaña de phishing dirigido tipo “spray and pray” de algunos ciberdelincuentes oportunistas que, pudiendo haber causado mucho más daño, se han centrado en una burda estafa en Bitcoins. Es decir, podríamos estar ante unos piratas que quieren dinero rápido y fácil, y que no están dispuestos a trabajar una operación más coordinada y sofisticada de un grupo APT», resalta.

«Si este es el caso, es probable que más empresas puedan ser atacadas a través de más acciones de phishing dirigido a sus empleados. Dado que el 50% de las organizaciones no disponía de un plan para dar soporte y migrar rápidamente a sus empleados e infraestructura a un sistema de trabajo en remoto apropiado y seguro en el momento en el que comenzó el periodo de confinamiento, probablemente veremos más violaciones de datos producto de la negligencia de los empleados o de configuraciones incorrectas en la infraestructura tecnológica que se produjeron en el proceso de transición al modelo de trabajo desde casa», remarca.

«Si bien las grandes organizaciones pueden disponer de fuertes defensas de seguridad para proteger su perímetro, la mayor parte de los profesionales de seguridad temen que las consecuencias puedan ser graves si los ciberdelincuentes deciden explotar el eslabón más débil de la cadena: el componente humano”, concluye.