Alex Hern, redactor de tecnología de The Guardian, escribe que lo que más intimida del hackeo de Twitter es que no sabemos con qué frecuencia ocurre:
“Twitter ha confirmado que el ataque no fue el resultado de una sofisticada vulnerabilidad tecnológica. Tampoco se comprometió la cuenta de cada usuario individualmente. En su lugar, la compañía dice haber sido víctima de ‘un ataque coordinado de ingeniería social por personas que consiguieron reclutar a algunos de nuestros empleados con acceso a los sistemas y herramientas internas’.
En otras palabras, los empleados de Twitter fueron engañados o coaccionados a dar acceso privilegiado a los sistemas más internos de la compañía, y desde allí, los atacantes pudieron provocar disturbios.
El concepto de ‘amenaza interna’ no es nada nuevo en el mundo de la tecnología. Los expertos en seguridad de la información aconsejan habitualmente a las empresas que practiquen la compartimentalización: limitar el acceso dentro de una red segura, por ejemplo, de modo que incluso si un atacante penetra en el perímetro, el daño que puede hacer es limitado.
Esas limitaciones también sirven para protegerse de la amenaza de un empleado deshonesto. Si te aseguras de limitar el acceso a los registros financieros, por ejemplo, a los que trabajan en el departamento de finanzas, haces que sea más difícil para un hacker robar detalles – y también haces que sea más difícil para Frank, que trabaja en ventas, echar un vistazo.
Twitter debería ser particularmente consciente de este tipo de preocupaciones, porque la empresa ya ha sido objeto de amenazas internas anteriormente. En 2017, un ’empleado deshonesto’ tomó medidas unilaterales contra la cuenta de Donald Trump, suspendiéndola del servicio durante unos 11 minutos antes de que fuera restaurada. El empleado, un alemán llamado Bahtiyar Duysak, desactivó la cuenta de Trump en su último día de trabajo como contratista de la red social.
Después de ese asunto, Twitter puso ‘salvaguardas’ para evitar que volviera a ocurrir, que parecen haber protegido también la cuenta del presidente de este último ataque.
El pasado noviembre, se reveló un ataque interno más grave, cuando dos ex empleados de Twitter fueron acusados de espiar para Arabia Saudita. Uno de los empleados, Ali Alzabarah, fue incluso despedido en 2015 por acceder a los datos de los usuarios, pero dijo a la empresa que lo había hecho ‘por curiosidad’. Huyó a Arabia Saudita al día siguiente.
Algunas empresas ni siquiera parecen ver como una amenaza el uso indebido de datos por parte de personas con información privilegiada. En 2016, por ejemplo, se descubrió que los empleados de Uber abusaban regularmente de su ‘Modo Dios’, que les permitía espiar los movimientos de ‘políticos de alto nivel, celebridades e incluso conocidos personales de los empleados de Uber, incluidos ex-novios/novias y ex-cónyuges’, según una denuncia judicial.
Las amenazas internas siempre estarán. Usar Internet requiere cierta confianza en los guardianes de esta tecnología. Pero como demuestra el hackeo de hoy, esa confianza a veces no se justifica”.
Ben Carr, CISO de Qualys, plantea el potencial de daño que demuestra el incidente:
“Los secuestros de cuentas en Twitter han suscitado preguntas sobre cómo le ha podido pasar algo así a la popular plataforma y quién ha podido ser el verdadero objetivo. Como resultado, muchos usuarios de plataformas de redes sociales se preguntan si sus propias cuentas están seguras. La información inicial parece indicar que la brecha se basó en que un hacker utilizó la ingeniería social para obtener acceso a los sistemas internos a través de una cuenta de empleado. El hacker utilizó esta cuenta para acceder a una herramienta de administración dentro del sistema de Twitter que le permitió tomar el control de las cuentas de los usuarios y bloquearlas para que no accedieran o modificaran sus propias cuentas. El objetivo era poner en marcha estafa para obtener bitcoins de los seguidores de las cuentas de alto perfil, a quienes se les pedía que pagaran 1.000 dólares y, a cambio, recibirían el doble. En pocas horas los seguidores que cayeron presa de la estafa generaron más de 100.000 dólares.
Sabemos lo que pasó, pero para responder cómo ha podido suceder, se necesitará más tiempo antes de que se puedan confirmar todos los detalles. Lo que sí sabemos es que son muy pocas las organizaciones que todavía operan sistemas críticos y acceden a esos sistemas sin autenticación multifactorial. Al mismo tiempo, estas organizaciones no están tomando en serio la higiene básica y están parcheando sistemas que se sabe que son vulnerables. Si los informes iniciales son ciertos, entonces también sabemos que Twitter tiene la capacidad y las herramientas para permitir que los empleados se apropien de las cuentas y emitan tweets en su nombre. Esta puede ser una de las revelaciones más preocupantes que han salido a la luz. ¿Por qué Twitter mantendría la capacidad de los empleados de controlar las cuentas de los usuarios y por qué tendría en plantilla a alguien que ha hecho uso de esta capacidad internamente con anterioridad?
Si la verdadera intención del hacker se dirigía realmente a las cuentas de las celebridades, lo normal es que no se hubiera hecho de forma tan descarada, con el fin de causar más daño. En este caso ha sido algo así como ‘coge el dinero y corre’, un intento de generar dinero rápidamente. Pero podría haber sido mucho peor. Por ejemplo, si hubiera ocurrido en medio de las próximas elecciones generales en EEUU y la cuenta de alguno de los candidatos se hubiera visto comprometida, ¿cuál podría ser el daño potencial de un solo tweet? Las plataformas de redes sociales tienen una elevada responsabilidad a la hora de garantizar la seguridad del sistema para proteger la integridad del discurso. También es responsabilidad de todos pensar que si algo parece demasiado bueno para ser verdad, quizá sea una trampa”.