Apple, Elon Musk o Bill Gates hackeados en Twitter, ¿podemos evitar que nos ocurra a nosotros?

La lista de personalidades y empresas afectadas se está conociendo todavía, aunque ya han trascendido algunos de los nombres cuyas cuentas verificadas de Twitter fueron asaltadas para publicar mensajes en los que se invitaba a comprar bitcoins con la futura promesa de doblar su inversión en minutos. Un ataque coordinado que mantiene sorprendidos a los investigadores porque no existe un precedente tan grave en los últimos años, y porque supone una escalada más dentro de la batalla que las principales empresas mantienen por proteger las seguridad de sus usuarios.

En ese incidente acaecido durante la pasada noche, se vieron comprometidas un buen número de cuentas verificadas, que son aquellas de especial relevancia y que tienen un indicador que nos señala que su titular es quien dice ser, y no otra cuenta fake, o no oficial. Apple, Elon Musk, Bill Gates, Joe Biden, Kanye West, Barack Obama, Uber... la lista cada vez es más grande y ha afectado a todos por igual: ya tuvieran acceso solo con usuario y contraseña, o con la verificación en dos pasos activada.

Este último detalle es el que más ha preocupado a los usuarios porque, sobre el papel, ese acceso de dos factores es técnicamente inviolable ya que los hackers, para entrar, deberían haber tenido acceso al terminal de la víctima. Por lo que todos los indicios apuntan a que los que perpetraron el golpe lo hicieron a través de un "ataque coordinado de ingeniería social" que, necesariamente, tiene que haberse llevado a cabo de puertas hacia dentro de la red social. Bien con trabajadores que hubieran podido colaborar (está prácticamente descartado), bien a través de un acceso forzado a los sistemas de Twitter.

¿Podemos protegernos de un ataque así?

La respuesta es no, ya que toda la estrategia de los atacantes, según los primeros indicios publicados por Twitter, pasó por acceder directamente a los servidores de la red social, sin violentar con ataques concretos a los usuarios afectados. Por esa razón, el problema de seguridad padecido por los de Jack Dorsey haría inútil cualquier medida de seguridad que podamos tomar, tanto a la hora de crear una contraseña imposible de descifrar, como al activar la verificación en dos pasos a través de nuestro número de teléfono o un Authenticator como los de Google y Microsoft.

We know they used this access to take control of many highly-visible (including verified) accounts and Tweet on their behalf. We’re looking into what other malicious activity they may have conducted or information they may have accessed and will share more here as we have it.

— Twitter Support (@TwitterSupport) July 16, 2020

Desde la red social han declarado en las últimas horas, tras haber limitado el envío de mensajes de cuentas verificadas, que "detectamos lo que creemos que es un ataque coordinado de ingeniería social por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internas", por lo que saben que "utilizaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre. Estamos investigando qué otra actividad maliciosa pueden haber realizado, o información a la que hayan accedido, y compartiremos más aquí como la tenemos".

Sin duda, este incidente todavía no ha terminado, por lo que estaremos atentos por si tiene algún tipo de consecuencias para usuarios que no dispongan de estas cuentas verificadas.