El miércoles 15 de julio, Twitter fue víctima de un ciberataque de ingeniería social. El objetivo : estafar a los internautas con criptomonedas.
Los piratas informáticos se han hecho con el control de más de 130 cuentas (fuente: Les Echos). Han suplantado la identidad de personalidades famosas y empresas de confianza: Barack Obama, Elon Musk, Jeff Bezos, Joe Biden, Bill Gates, Kanye West, pero también Bitcoin, Apple y Uber, Binance y muchas otras.
Twitter: estafada con Bitcoin
Los piratas informáticos enviaron un tuit a cada una de las comunidades de internautas. Les garantizaban una oferta irresistible: invertir 1000 dólares en 30 minutos para recibir el doble, es decir, 2000 dólares.
Más de una hora después del ataque, muchos internautas ya no podían tuitear. Esta decisión fue una de las primeras medidas de seguridad tomadas por Twitter tras la alerta del ciberataque. A esto se sumó la imposibilidad de restablecer las contraseñas.
Según Blockchain.com, los estafadores lograron desviar cerca de 12,58 bitcoins (aproximadamente 116 000 dólares o 101 000 euros). La dirección (única) de transacción de los estafadores registró más de 350 transferencias de dinero.
Phishing telefónico de Twitter y ciberataque de ingeniería social
Twitter ha confirmado que se trataba efectivamente de un «ataque coordinado de ingeniería social». Este ataque «alcanzó con éxito a algunos de nuestros empleados que tienen acceso a nuestras herramientas internas» (fuente: Le Monde).
Los empleados de Twitter, engañados por los piratas informáticos mediante un ataque de phishing telefónico, les habrían dado acceso a una herramienta interna de Twitter. Esta herramienta, un panel de control, da acceso a la gestión de las cuentas de Twitter. De esta manera, los hackers tomaron el control de varias direcciones de correo electrónico para suplantar la identidad de personalidades y empresas influyentes.
La vulnerabilidad humana siempre será un punto débil en cualquier estrategia de mitigación de riesgos. El establecimiento de una cultura de concienciación sobre la seguridad en el lugar de trabajo puede contribuir a reducir estos riesgos.
Este ciberataque desacredita a Twitter
No es la primera vez que Twitter tiene que lidiar con un problema de seguridad. Cada vez que ocurre, su imagen se ve afectada. Y esta vez aún más, ya que, según Bloomberg, los empleados de un subcontratista utilizaban las herramientas internas de Twitter para espiar las cuentas de algunas celebridades internacionales. Recopilación de información, datos de localización, etc.: ¡tantos actos ciberdelictivos que dañan la imagen del pájaro azul! ¡Prácticas conocidas internamente, pero que nunca se han detenido! (fuente: La Nouvelle Tribune).
¿Qué es un ciberataque de ingeniería social?
La ingeniería social (Social Engineering) es una técnica de manipulación psicológica utilizada por los piratas informáticos para obtener información (datos, contraseñas, identificadores, etc.). Esta práctica se basa en el abuso de la confianza y la explotación de las debilidades humanas. Para obtener información sobre su objetivo, los hackers no dudan en investigar a través del correo electrónico, las redes sociales, las llamadas telefónicas e incluso durante «encuentros y conversaciones anodinas» en la calle.
Por lo general, las víctimas no son conscientes de que están siendo engañadas, ya que los hackers juegan con sus emociones y/o intereses para estafarlas. Miedo, estrés, entusiasmo, etc.: de hecho, es más fácil explotar las debilidades humanas que intentar piratear las debilidades técnicas de las organizaciones.
Este es, por ejemplo, el tipo de ciberataque que afectó a Snapchat en 2016. Un hacker suplantó la identidad del responsable de RR. HH. y envió un correo electrónico de phishing a un empleado. El empleado, engañado, le envió el archivo con las nóminas de los empleados de la empresa.
Por lo tanto, es importante permanecer alerta sobre lo que se publica en la web y saber qué medidas tomar para evitar los ataques de ingeniería social.
