Hackean algunas cuentas importantes de YouTube para estafar a los usuarios, ¿sabes cómo protegerte?

Hace apenas dos semanas Twitter protagonizaba el peor hackeo de su historia, con un asalto a algunas de sus cuentas verificadas donde los piratas consiguieron colocar mensajes en los que prometían doblar inversiones en Bitcoins en apenas unas horas. Cuando parece que le red social ya va vislumbrando las causas de lo ocurrido, nos enteramos de que YouTube ha sido la siguiente en caer, con un ataque que recuerda bastante al realizado contra los de Jack Dorsey y que se mantiene, a esta hora, activo.

Y es que esta mañana nos hemos levantado con la noticia de que algunos canales de cierta relevancia en la plataforma ("alto perfil" los llaman algunos medios), como el del leaker de noticias del ecosistema Apple y especialista en tecnología, Jon Posser, han sido hackeados, renombrados y vueltos a publicar contenidos que incitan a estafar a los usuarios con nuevas promesas sobre cómo invertir ganando dinero fácilmente con Bitcoins. Un modus operandi que parece inspirarse en el asalto a Twitter pero que en realidad se ha producido por un ataque directo a los usuarios.

Antes de nada, y por si acaso accedéis a alguno de estos canales, recordad no picar y dejar vuestro dinero en algo que es una pura y simple estafa. De esta manera, y entre todos, conseguiremos que ese ataque quede en nada y no pueda saldarse con un botín sustancioso para los hackers. Aunque parece que a esta hora las cosas no están muy claras y YouTube no ha tomado medidas contundentes.

¿Estamos seguros en YouTube?

El problema de lo ocurrido con Jon Posser tiene que ver con un problema al que estamos expuestos todos: los asaltantes han conseguido entrar en cuentas que tenían activado algún tipo de sistema de verificación de dos pasos. El propio protagonista cree que podrían haber conseguido clonar la tarjeta SIM de su smartphone para conseguir otra con la que acceder posteriormente a su cuenta de YouTube. Hace unos pocos días, os contamos qué hacer para evitar estos ataques que llegan cuando los hackers se ponen en contacto con nuestro operador telefónico haciéndose pasar por nosotros.

Con esa tarjeta SIM clonada, los piratas pudieron acceder a la cuenta con el usuario y la contraseña y, a continuación, escribir el código numérico que los de Mountain View mandan a través de un SMS. Con todo en sus manos, accedieron al canal y por las primeras evidencias parece que eliminaron todos los vídeos, cambiaron el nombre por el de "NASA [News]" y subieron un único vídeo con la estafa de los Bitcoins que, según Jon Prosser, ya se ha visto más de 40.000 veces por lo que ha generado beneficios de cerca de 4.000 dólares. Eso sin contar lo que la propia trampa del vídeo fake les pueda reportar.

Channel hacked. 2FA bypassed.

Live-streaming a Bitcoin scam to 40,000 live viewers.

Hackers have made $4,000 in Bitcoin so far. @TeamYouTube tells me I need to fill out a form and wait “a few weeks”.

If any ACTUAL YouTube reps see this, please get in contact with me. pic.twitter.com/s276Wp1LAt

— Jon Prosser (@jon_prosser) August 6, 2020

Si tenéis un canal de YouTube que queréis proteger porque la cosa va mejorando poco a poco (en suscriptores y visionados), la verificación en dos pasos es esencial para mantener su integridad aunque a la vista de los últimos acontecimientos, empiezan a imponerse algunas formas de protección sobre otras. Por ejemplo, la de recibir un SMS comienza a ser peligrosamente frágil, por esa posibilidad de que nos clonen la tarjeta SIM, por lo que toman fuerza las llaves de hardware (FIDO), los códigos generados a través de un authenticator o dar nuestro "OK" a través de otro dispositivo donde tengamos activa esa misma cuenta de Google. Así que revisad ahora mismo cómo tenéis ese método de autentificación y blindadlo.