El miércoles 15 de julio, y durante apenas dos horas, algo llamó la atención de algunos usuarios en Twitter. Unas 130 cuentas verificadas de “alto perfil”, es decir, de usuarios muy reconocidos, como Jeff Bezos o Joe Biden, publicaron un mensaje en el que anunciaban que si se enviaba una suma en bitcoins a determinada dirección se retornaría el doble.
A pesar de que el mecanismo está comprendido en una de las 15 estafas más comunes (y que deben evitarse) mencionadas en la página oficial de Bitcoin, hubo gente que fue engañada. Como el mensaje provenía de cuentas verificadas, los estafadores recibieron el equivalente a 117.000 dólares en bitcoins a partir de 383 transacciones.
Lo interesante del episodio es cómo sucedió (spoiler: no fue porque los usuarios de alto perfil tenían “1234” como contraseña). Según la versión oficial, publicada en el blog de la empresa Twitter, los atacantes lograron acceso a las credenciales de ciertos empleados para poder penetrar los sistemas internos. Concretamente, pudieron acceder a los sistemas de soporte a usuarios apuntando a las 130 cuentas afectadas, y lograron resetear la contraseña en 45 de ellas.
La acción más notoria que tomó la red social como medida preventiva fue bloquear el acceso a todas las cuentas verificadas por un breve período. Por eso, en la tarde de Uruguay, varias cuentas, como la de la diaria, estuvieron inactivas. Esto permitió que el equipo de Twitter retomara el control de las cuentas comprometidas.
La explicación oficial conduce a otra pregunta: ¿cómo se accedió a las credenciales de los empleados de Twitter? Aparece entonces otro punto interesante: se habría logrado mediante un esquema de ingeniería social. En otras palabras, se logró información personal de estos empleados a partir de información obtenida por observación o acción personal. Según informes, la técnica utilizada para ello habría sido la de SIM swapping, que consiste en hacer un clonado de la tarjeta SIM de los teléfonos, “secuestrando” el número. Esto habría permitido acceder a las cuentas solicitando un cambio de contraseña o su verificación mediante el envío de un SMS a esos teléfonos, por ejemplo.
Existe una comunidad de SIM swappers que, aprovechando las herramientas de doble factor de autenticación (la solicitud de un mensaje de texto o llamada a un número celular sumado a la contraseña para poder loguearse a una cuenta), se centran en obtener acceso a cuentas denominadas original gangster u OG. Estas cuentas son las que tienen usuarios cortos o de una letra (por ejemplo, @G o @joe). Acceder a estas cuentas les da un estatus mayor en estos círculos y, sobre todo, pueden revenderlas en el mercado negro.
Los indicios más claros de que uno de estos grupos estuvo involucrado se vieron en un foro de usuarios de estas cuentas llamado OGusers. Allí un usuario publicó un mensaje en el que decía que podía cambiar la dirección de correo electrónico asociada a cualquier cuenta por 250 dólares y ofrecía acceso directo a ellas desde 2.500 a 3.000 dólares por cuenta. Asimismo, pocas horas antes de que se publicaran los tuits en las cuentas verificadas, en algunas cuentas OG se pudo ver algunos mensajes con capturas de los sistemas internos de Twitter.
Como enseñanza queda la idea de que no todo hackeo depende exclusivamente de nuestra protección. En este caso, la brecha de seguridad se produjo en las empresas telefónicas que permiten hacer clonaciones de tarjetas SIM solicitando muy pocos datos personales.