Mientras Twitter lidia con la peor violación de seguridad en sus 14 años de historia, debe descubrir si sus empleados fueron víctimas de un esquema de phishing sofisticado o si deliberadamente permitieron a los hackers acceder a cuentas de alto perfil.
El miércoles, algunos de los nombres más prominentes del mundo, incluidos el expresidente Barack Obama y el candidato demócrata y su exvicepresidente Joe Biden, junto con Bill Gates, Elon Musk y Warren Buffett, vieron que sus cuentas de Twitter publicaron invitaciones para una aparente estafa de bitcoin.
Twitter reaccionó bloqueando nuevas publicaciones de todas las cuentas verificadas en el servicio y dijo que había detectado "un ataque coordinado de ingeniería social por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internas".
La explicación de la compañía ha provocado especulaciones sobre la identidad de los perpetradores y a lo que realmente apuntaban con el ataque. La magnitud del ataque y el momento en el que se llevó a cabo, solo meses antes de las elecciones estadounidenses de noviembre, han dado lugar a teorías entre los expertos en ciberseguridad de que el ataque enmascaró una campaña más nefasta para obtener datos confidenciales.
En su investigación del incidente, Twitter probablemente se centrará en los registros de empleados, correos electrónicos y registros telefónicos. Se investigarán fallas en los procesos de autenticación que podrían haber permitido a los piratas informáticos secuestrar cuentas verificadas y también otra información que se podría haber visto comprometida en la violación, como mensajes directos. Las billeteras de bitcoin anunciadas en los tuits recaudaron alrededor de 120 mil en criptomonedas.
Las acciones de Twitter cayeron 6 por ciento en las operaciones previas a la apertura del mercado este jueves. A las 10:10 horas de la Ciudad de México, las acciones de la red social caen 1.43 por ciento, a 35.16 dólares.
Un ataque de ingeniería social significa "aprovechar el elemento humano de la seguridad" y hay muchas maneras diferentes de hacerlo, explicó Rachel Tobac, directora ejecutiva de SocialProof Security, con sede en San Francisco.
"Se puede hacer phishing a alguien que tiene acceso administrativo y tratar de obtener acceso a sus credenciales e iniciar sesión en su cuenta", añadió, o el método menos técnico sería desarrollar "una relación con alguien que trabaja en esos paneles y convencerle de que lo haga por ti".
El conocimiento de las medidas de seguridad en compañías como Twitter es obligatorio, pero en última instancia es difícil rastrear los ataques internos cuando son los empleados en lugar de la tecnología quienes caen bajo el microscopio, apuntó Tobac.
"Hay un libro de jugadas para hacer esto, hay organizaciones cibercriminales que ganan millones de dólares. Es el negocio de más rápido crecimiento en el mundo", abundó.
Identificar a los posibles empleados de Twitter a los que apuntar no sería difícil para los piratas informáticos, dada la forma en que la mayoría de las aplicaciones de teléfonos inteligentes obtienen la ubicación y otros datos contextuales de los usuarios, datos que a menudo se venden a empresas de marketing. Cualquier persona que frecuenta las mismas cafeterías y negocios o que entra y sale de un lugar de trabajo a horas particulares puede dar pistas sobre sí mismo.
Los expertos en ciberseguridad solo pueden especular hasta que Twitter revele lo que sucedió y dónde ocurrieron las fallas, pero incluso este tipo de demostración de fuerza, una manifestación de piratas informáticos para ganar credibilidad o ganar infamia, no les convence de que se haya tratado solo de una estafa de bitcoin.
Con la proximidad de las elecciones de Estados Unidos, el ciberespacio está listo para un gran ataque. Stas Protassov, cofundador y presidente de la firma mundial de tecnología Acronis, dijo que el ataque estaba "demasiado preparado para ser solo una estafa de criptomonedas".
"No creemos que todos los piratas informáticos hayan entrado una vez que obtuvieron acceso", indicó en un correo electrónico. "El ataque es demasiado grande y ruidoso y probablemente cubra una jugada más grande. Todavía tenemos que ver el impacto total de lo que se trataba".
Tobac también planteó la posibilidad de que el ataque podría haber sido una distracción mientras los hackers recolectaban mensajes directos privados u otra información confidencial para poder publicarla en un momento más crítico. Entonces, aunque la interrupción inicial del servicio de Twitter parece haberse reparado y la compañía está restaurando gradualmente el funcionamiento normal, los efectos persistentes de esta violación podrían tener consecuencias mucho más amplias que el espectáculo del miércoles.
"Tal vez estaban haciendo algo insidioso y esto fue solo un encubrimiento", manifestó. "No hay forma de que sepamos, simplemente podemos especular".
Pase lo que pase, Twitter debe ser completamente sincero sobre la causa del ataque una vez que se haya determinado, dijo Tobac. "Esta fue una crisis pública que, si no son completamente transparentes, dañaría aún más su marca".