Analista: “El incidente de Twitter demuestra la ineptitud de la seguridad institucional”

Dos expertos coinciden en que Twitter no ha estado a la altura de su responsabilidad. Uno de ellos apunta a la ineptitud de la empresa, mientras que el segundo se pregunta cu√°l podr√≠a ser el da√Īo potencial de un solo tweet, si el incidente hubiera ocurrido en medio de las pr√≥ximas elecciones generales en EEUU y la cuenta de alguno de los candidatos se hubiera visto comprometida.

Alex Hern, redactor de tecnología de The Guardian, escribe que lo que más intimida del hackeo de Twitter es que no sabemos con qué frecuencia ocurre:

“Twitter ha confirmado que el ataque no fue el resultado de una sofisticada vulnerabilidad tecnol√≥gica. Tampoco se comprometi√≥ la cuenta de cada usuario individualmente. En su lugar, la compa√Ī√≠a dice haber sido v√≠ctima de ‘un ataque coordinado de ingenier√≠a social por personas que consiguieron reclutar a algunos de nuestros empleados con acceso a los sistemas y herramientas internas’.

En otras palabras, los empleados de Twitter fueron enga√Īados o coaccionados a dar acceso privilegiado a los sistemas m√°s internos de la compa√Ī√≠a, y desde all√≠, los atacantes pudieron provocar disturbios.

El concepto de ‘amenaza interna’ no es nada nuevo en el mundo de la tecnolog√≠a. Los expertos en seguridad de la informaci√≥n aconsejan habitualmente a las empresas que practiquen la compartimentalizaci√≥n: limitar el acceso dentro de una red segura, por ejemplo, de modo que incluso si un atacante penetra en el per√≠metro, el da√Īo que puede hacer es limitado.

Esas limitaciones también sirven para protegerse de la amenaza de un empleado deshonesto. Si te aseguras de limitar el acceso a los registros financieros, por ejemplo, a los que trabajan en el departamento de finanzas, haces que sea más difícil para un hacker robar detalles Рy también haces que sea más difícil para Frank, que trabaja en ventas, echar un vistazo.

Twitter deber√≠a ser particularmente consciente de este tipo de preocupaciones, porque la empresa ya ha sido objeto de amenazas internas anteriormente. En 2017, un ’empleado deshonesto’ tom√≥ medidas unilaterales contra la cuenta de Donald Trump, suspendi√©ndola del servicio durante unos 11 minutos antes de que fuera restaurada. El empleado, un alem√°n llamado Bahtiyar Duysak, desactiv√≥ la cuenta de Trump en su √ļltimo d√≠a de trabajo como contratista de la red social.

Despu√©s de ese asunto, Twitter puso ‘salvaguardas’ para evitar que volviera a ocurrir, que parecen haber protegido tambi√©n la cuenta del presidente de este √ļltimo ataque.

El pasado noviembre, se revel√≥ un ataque interno m√°s grave, cuando dos ex empleados de Twitter fueron acusados de espiar para Arabia Saudita. Uno de los empleados, Ali Alzabarah, fue incluso despedido en 2015 por acceder a los datos de los usuarios, pero dijo a la empresa que lo hab√≠a hecho ‘por curiosidad’. Huy√≥ a Arabia Saudita al d√≠a siguiente.

Algunas empresas ni siquiera parecen ver como una amenaza el uso indebido de datos por parte de personas con informaci√≥n privilegiada. En 2016, por ejemplo, se descubri√≥ que los empleados de Uber abusaban regularmente de su ‘Modo Dios’, que les permit√≠a espiar los movimientos de ‘pol√≠ticos de alto nivel, celebridades e incluso conocidos personales de los empleados de Uber, incluidos ex-novios/novias y ex-c√≥nyuges’, seg√ļn una denuncia judicial. 

Las amenazas internas siempre estar√°n. Usar Internet requiere cierta confianza en los guardianes de esta tecnolog√≠a. Pero como demuestra el hackeo de hoy, esa confianza a veces no se justifica”.

Ben Carr, CISO de Qualys, plantea el potencial de da√Īo que demuestra el incidente: 

‚ÄúLos secuestros de cuentas en Twitter han suscitado preguntas sobre c√≥mo le ha podido pasar algo as√≠ a la popular plataforma y qui√©n ha podido ser el verdadero objetivo. Como resultado, muchos usuarios de plataformas de redes sociales se preguntan si sus propias cuentas est√°n seguras.  La informaci√≥n inicial parece indicar que la brecha se bas√≥ en que un hacker utiliz√≥ la ingenier√≠a social para obtener acceso a los sistemas internos a trav√©s de una cuenta de empleado.  El hacker utiliz√≥ esta cuenta para acceder a una herramienta de administraci√≥n dentro del sistema de Twitter que le permiti√≥ tomar el control de las cuentas de los usuarios y bloquearlas para que no accedieran o modificaran sus propias cuentas.  El objetivo era poner en marcha estafa para obtener bitcoins de los seguidores de las cuentas de alto perfil, a quienes se les ped√≠a que pagaran 1.000 d√≥lares y, a cambio, recibir√≠an el doble. En pocas horas los seguidores que cayeron presa de la estafa generaron m√°s de 100.000 d√≥lares.

Sabemos lo que pas√≥, pero para responder c√≥mo ha podido suceder, se necesitar√° m√°s tiempo antes de que se puedan confirmar todos los detalles.  Lo que s√≠ sabemos es que son muy pocas las organizaciones que todav√≠a operan sistemas cr√≠ticos y acceden a esos sistemas sin autenticaci√≥n multifactorial.  Al mismo tiempo, estas organizaciones no est√°n tomando en serio la higiene b√°sica y est√°n parcheando sistemas que se sabe que son vulnerables. Si los informes iniciales son ciertos, entonces tambi√©n sabemos que Twitter tiene la capacidad y las herramientas para permitir que los empleados se apropien de las cuentas y emitan tweets en su nombre.  Esta puede ser una de las revelaciones m√°s preocupantes que han salido a la luz.  ¬ŅPor qu√© Twitter mantendr√≠a la capacidad de los empleados de controlar las cuentas de los usuarios y por qu√© tendr√≠a en plantilla a alguien que ha hecho uso de esta capacidad internamente con anterioridad?

Si la verdadera intenci√≥n del hacker se dirig√≠a realmente a las cuentas de las celebridades, lo normal es que no se hubiera hecho de forma tan descarada, con el fin de causar m√°s da√Īo. En este caso ha sido algo as√≠ como ‘coge el dinero y corre’, un intento de generar dinero r√°pidamente. Pero podr√≠a haber sido mucho peor. Por ejemplo, si hubiera ocurrido en medio de las pr√≥ximas elecciones generales en EEUU y la cuenta de alguno de los candidatos se hubiera visto comprometida, ¬Ņcu√°l podr√≠a ser el da√Īo potencial de un solo tweet? Las plataformas de redes sociales tienen una elevada responsabilidad a la hora de garantizar la seguridad del sistema para proteger la integridad del discurso. Tambi√©n es responsabilidad de todos pensar que si algo parece demasiado bueno para ser verdad, quiz√° sea una trampa”.




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.