Expertos sobre el hackeo de Twitter: “Spray and pray”, “giveaway”, ingeniería social y compra de acceso privilegiado

Representantes de Bitdefender, Proofpoint y Cyberark aportan sus comentarios e interpretaciones sobre el exitoso hackeo de cuentas de Twitter.

El hackeo de la red social Twitter afectó las cuentas verificadas de numerosas personalidades y compañías. Las empresas de seguridad informática Bitdefender, Proofpoint y Cyberark nos han hecho llegar comentarios de sus expertos.

Liviu Arsene, Senior Global Cybersecurity Researcher en Bitdefender:

“Los ciberdelincuentes han conseguido tener éxito en su ataque a cuentas de usuarios de Twitter con un perfil muy elevado, que seguramente utilizan autenticación de dos factores. Eso apuntaría a que se ha tratado de un ataque coordinado a los empleados y sistemas de Twitter. Es posible que este ataque sea el resultado de unos ciberdelincuentes que han buscado aprovecharse de las vulnerabilidades del actual modelo de teletrabajo, en el que los empleados tienen más posibilidades de convertirse en víctimas de estafas y de correos electrónicos peligrosos que logran comprometer sus dispositivos y, como consecuencia, los sistemas de la empresa.

Este ataque a Twitter podría ser el resultado de una campaña de phishing dirigido tipo ‘spray and pray’ de algunos ciberdelincuentes oportunistas que, pudiendo haber causado mucho más daño, se han centrado en una burda estafa en Bitcoins. Es decir, podríamos estar ante unos piratas que quieren dinero rápido y fácil, y que no están dispuestos a trabajar una operación más coordinada y sofisticada de un grupo APT.

Si este es el caso, es probable que más empresas puedan ser atacadas a través de más acciones de phishing dirigido a sus empleados. Dado que el 50 por ciento de las organizaciones no disponía de un plan para dar soporte y migrar rápidamente a sus empleados e infraestructura a un sistema de trabajo en remoto apropiado y seguro en el momento en el que comenzó el periodo de confinamiento, probablemente veremos más violaciones de datos producto de la negligencia de los empleados o de configuraciones incorrectas en la infraestructura tecnológica que se produjeron en el proceso de transición al modelo de trabajo desde casa.

Si bien las grandes organizaciones pueden disponer de fuertes defensas de seguridad para proteger su perímetro, la mayor parte de los profesionales de seguridad temen que las consecuencias puedan ser graves si los ciberdelincuentes deciden explotar el eslabón más débil de la cadena: el componente humano”.

Loïc Guézo, director sénior de Estrategia de Ciberseguridad en la región de EMEA, Proofpoint

“Los ciberdelincuentes siguen teniendo en el punto de mira a las personas, incluso en escenarios en los que se puedan ver comprometidos ciertos sistemas. Según se ha podido constatar a través de la ingeniería social de esta estafa, los atacantes se dirigieron a empleados de la compañía Twitter que disponían de acceso a determinadas herramientas internas, aprovechándose de la confianza que despierta el hecho de que una cuenta esté verificada y del atractivo que supone que te devuelvan el doble de una cantidad de dinero.     

Para que la estafa pareciese auténtica, se estableció un límite de tiempo para llevar a cabo la operación y se puso a disposición de los usuarios una opción de pago fácil con la que conseguir una respuesta aún más rápida. Proofpoint recuerda que los actores de amenazas tienen muy en cuenta la naturaleza humana y, por ello, se enfocan de manera implacable en sacar tajada de esa confianza que tiene la sociedad de hoy en día en los canales digitales.

Este ataque a la plataforma Twitter sería a su vez la evolución de una anterior estafa con criptomonedas que había sido observada a principios de 2018 por el equipo de investigación de Proofpoint. Este tipo de fraudes tiene como blanco de los ataques a usuarios de Ethereum y Bitcoin, a quienes se les suele pedir que envíen una pequeña cantidad de dinero a cambio de un supuesto pago mucho mayor en la misma divisa digital. Si bien los ciberdelincuentes distribuyen con bastante frecuencia malware de criptominería o lanzan ataques de phishing de credenciales en monederos o cambios con criptomonedas, estas estafas “giveaway” se posicionan como una nueva táctica mediante la cual robar estas divisas, algo que recuerda a los fraudes “419” tan comunes hace unos 10 o 15 años. Esto viene a refrendar el hecho de que los atacantes continúan buscando nuevas formas con las que explotar el denominado factor humano, y que también las personas son propensas a caer víctimas de cualquier estafa que les prometa conseguir fácilmente commodities como criptomonedas.

Estas estafas ‘giveaway’ han tenido su pico más alto de incidencia en abril de este año, aunque normalmente tienen su origen en cuentas falsas de Twitter creadas para generar clics y retuits. Dado el repunte en cuanto a valor de estas divisas digitales y el interés que estas generan entre los usuarios, será sin duda uno de los apartados en los que poner atención en los próximos meses”.

David Higgins, director técnico en EMEA de CyberArk:

“Aunque inicialmente parecía que el éxito de la ingeniería social llevada a cabo por personas con información privilegiada facilitó este ataque externo, se habla de que se han usado métodos más `tradicionales´ para “comprar” la cooperación interna y el acceso a la herramienta de administración, lo que permitió la adquisición de cuentas de perfil alto.

Esto demuestra que los hackers siempre tendrán como objetivo el acceso privilegiado y los derechos del personal interno de una organización. En algunos casos esto se produce por medio de la suplantación de la identidad, pero es posible que, en este caso, veamos un ejemplo de personal interno malintencionado en el trabajo. La lección que debemos aprender es que esto demuestra la importancia de utilizar fuertes controles y monitorizar a aquellos usuarios que tienen acceso privilegiado a sistemas y servicios clave. Es un claro recordatorio de por qué las redes sociales, que se han convertido en una vía de comunicación crucial, deben ser tratadas por las empresas como infraestructura crítica y aseguradas como tales”.

Fotografía:  Liviu Arsene, Senior Global Cybersecurity Researcher en Bitdefender


Contacto | Diario TI es una publicación de MPA Publishing International Ltd.