Hace apenas unas horas algo extraño comenzó a suceder en Twitter. Una a una, varias cuentas (en su mayoría verificadas) comenzaron a publicar un mensaje similar: habían decidido hacer una devolución a la comunidad y, por eso, enviarían a las personas que depositaran bitcoins en el enlace que acompañaba al tweet el doble de la suma original. Entre los perfiles atacados se encuentran los de personalidades como Bill Gates, Elon Musk, Barack Obama, Jeff Bezos y Joe Biden y pero también los de empresas como Uber, Bitcoin, Coinbase Apple y Coindesk.

En respuesta al ataque, Twitter indicó que están al tanto del incidente de seguridad y que se encuentran investigando lo sucedido. Mientras tanto, tomaron algunas acciones para afrontar el problema: las cuentas verificadas pudieron verse impedidas de twittear, restablecer las contraseñas y algunas otras funciones, aunque desde la empresa señalaron que la mayor parte de los perfiles ya deberían haber vuelto a la normalidad.

We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.

— Twitter Support (@TwitterSupport) July 15, 2020

Dado que al principio la estafa fue en pocas cuentas, lo primero que se consideró como puerta de entrada fue el doble factor de autenticación. Sin embargo, al extenderse a otros usuarios -algunos de ellos profesionales del campo tecnológico-, se sospecha que el problema estuvo en otro lado. Una de las opciones que resuena entre varios expertos es que el acceso se obtuvo a través de la infraestructura interna de la compañía. En este sentido, desde el sitio web Motherboard señalaron que dos fuentes les enviaron capturas de pantalla de los paneles internos que los empleados de la red social del pajarito utilizan para interactuar con las cuentas y una de ellas indicó que esto fue utilizado para el ataque.

Con el correr de las horas, algunas cuentas lograron borrar el tweet con la estafa -que había sido fijado en la parte superior-, al tiempo que se sumaron más víctimas con un mensaje levemente modificado. Por ahora se desconoce el origen del ataque. Al momento de escribir esta nota, las acciones de Twitter cayeron casi un 5% y ya se transfirieron unos US$100.000.

Esta nota se actualizará a medida que se produzcan novedades.

[ACTUALIZACIÓN 1] Jack Dorsey, cofundador de Twitter, publicó un tweet en el que asegura que este fue un día difícil para ellos y que se sienten terrible por lo sucedido. «Estamos diagnosticando y continuaremos compartiendo todo lo que podamos cuando comprendamos más completamente lo que pasó», afirmó.

Tough day for us at Twitter. We all feel terrible this happened.

We’re diagnosing and will share everything we can when we have a more complete understanding of exactly what happened.

💙 to our teammates working hard to make this right.

— jack (@jack) July 16, 2020

[ACTUALIZACIÓN 2] El día después. Durante la madrugada, Twitter publicó una serie de mensajes con algo más de información acerca de lo sucedido. Allí confirmaron los rumores: que creen que fue un ataque de ingeniería social coordinado por personas que se dirigieron, con éxito, a algunos de sus empleados con acceso a sistemas y herramientas internas. «Sabemos que usaron este acceso para controlar varias cuentas altamente visibles (incluyendo verificadas) y twittear desde ellas. Estamos investigando qué otra actividad maliciosa pudieron realizar o a qué información hayan accedido», destacaron.

Luego, recordaron las acciones tomadas para desactivar el incidente: bloquearon las cuentas afectadas y eliminaron los mensajes publicados por los atacantes, pero también limitaron la funcionalidad para un grupo de cuentas mucho más grande, como todas las cuentas verificadas (incluso aquellas que no tenían evidencia de estar comprometidas). Algo que catalogaron como perjudicial pero que lo consideraron un paso importante para reducir el riesgo. De todas formas, aseguran que la mayor parte de la funcionalidad fue restaurada.

We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.

— Twitter Support (@TwitterSupport) July 16, 2020

En cuanto a las cuentas vulneradas, continúan bloqueadas y explicaron que se las devolverán a los propietarios originales «únicamente cuando estemos seguros de que podamos hacerlo de forma segura». Además, hicieron referencia (sin demasiadas precisiones) a las acciones tomadas puertas adentro: «Hemos tomado medidas importantes para limitar el acceso a los sistemas y herramientas internos mientras nuestra investigación está en curso. Tendremos más actualizaciones a medida que continúe nuestra investigación».

Más allá de lo informado, ya con un poco de distancia caben hacerse algunas preguntas: ¿cuáles son los pasos a seguir por parte de la empresa para reforzar sus medidas de seguridad?, ¿a qué otra información tuvieron acceso los atacantes (por ejemplo, cuentas que no hayan llegado a demostrar su vulneración o mensajes privados)? y ¿qué hubiese pasado si, en vez de enviar mensajes con una estafa económica, hubiesen aprovechado el acceso para twittear otros contenidos (que podrían haber generado conflictos sociales y políticos)?

La estafa alcanzó los 12,8 bitcoins, que representan poco más de 116 mil dólares. La suma ya fue enviada a otras cuentas y, por el propio funcionamiento de la criptomoneda, no podrá recuperarse. Esto es porque el receptor puede mantenerse anónimo y no es posible deshacer un movimiento de dinero. Entre la incertidumbre que aun ronda al ataque, algo es seguro: es la mayor brecha de seguridad de la compañía y ya ingresó al podio de los incidentes más importantes en redes sociales.

[ACTUALIZACIÓN 3] Más novedades desde la red social. La empresa, a través de su cuenta Twitter Support, decidió hacer algunos comentarios acerca de los rumores y las dudas que surgieron desde que se conoció el incidente. En este sentido, aseguraron que no tienen evidencia de que los atacantes hayan accedido a contraseñas, por lo que «por el momento, no creemos que sea necesario cambiar los passwords».

Además, aclararon que, como parte de una cautela excesiva de su parte para proteger la seguridad de los usuarios, ayer decidieron bloquear todas las cuentas que hubiesen intentado actualizar sus claves en los últimos 30 días e interrumpir esta funcionalidad momentáneamente. Esto debería estar solucionado en todos los perfiles, excepto en aquellos que aun están afectados.

We have no evidence that attackers accessed passwords. Currently, we don’t believe resetting your password is necessary.

— Twitter Support (@TwitterSupport) July 16, 2020

Por otra parte, aclararon que las cuentas que aun están bloqueadas no necesariamente continúan así porque fueron vulneradas. «Creemos que solo un pequeño grupo de estos perfiles fue comprometido pero todavía estamos investigando», consignaron. Asimismo, esperan devolverle el control a los usuarios lo antes posible.

---

¡Hola! ¿Tenés un momentito más?
Antes de irte, quería contarte que, si lo que acabás de leer te pareció interesante o te sirvió de algo, podés colaborar con Otrawebdetecno invitándome un cafecito. El aporte mínimo es de $50 y es por única vez (no es una suscripción). Los contenidos del blog son y seguirán siendo gratuitos pero tu aporte irá a parar a la alcancía que lo mantiene online. Si no podés o no tenés ganas, ¡no pasa nada! Con solo compartir me ayudás un montón. Gracias 🙂