Fue un ataque masivo, simultáneo y sin precedentes. Algunos hablaban de un trabajador de la propia red social y otros, de un grupo organizado de mafiosos digitales. El hackeo más duro de Twitter se hizo realidad el pasado mes de julio y parecía que había llegado a su fin con el arresto de tres presuntos ‘hackers’ de Estados Unidos y Reino Unido. Accedieron a las cuentas de personas de alto perfil para perpetrar un fraude con criptomonedas. Barack Obama, Kanye West, Kim Kardashian, Bill Gates e incluso las cuentas oficiales de Apple y Uber animaban a hacer una donación en bitcoin que prometía ser devuelta al donante, pero duplicada en su cuantía. Los expertos llegaron a considerar que ese intento de ciberestafa a través de las cuentas de personajes conocidos de todo el mundo ha supuesto el mayor ataque informático contra la red del pájaro azul.
¿Cómo se ejecutó este ataque? En un post del blog de Twitter se explicaron minuciosamente todos los detalles. La respuesta está en el ‘phishing’ telefónico o también conocido ‘vishing’ o ‘phishing de voz’ (una estafa que tiene como objetivo obtener a través de Internet datos privados que faciliten el acceso a las cuentas bancarias de los usuarios).
Los ‘hackers’ utilizaron identidades falsas para engañar al personal de Twitter. La finalidad, obtener las credenciales necesarias para acceder a una herramienta interna de la empresa encargada de restablecer tanto las contraseñas como la configuración de cuentas de usuarios concretas. Podría haberse quedado ahí, pero no fue así. En las últimas semanas los hackeos se han convertido en una ola criminal.
Docenas de empresas, incluidas entidades bancarias y empresas de alojamientos, han sido atacadas con el mismo método. Un grupo de especialistas en ciberseguridad han estudiado cada uno de los casos y todos siguen el mismo patrón. Los empleados reciben una llamada telefónica de una persona que se hace pasar por personal de la empresa. Los engaña y así consigue las contraseñas de las herramientas internas de cada negocio.
Pero hasta llegar a este punto, los perpetradores de los ataques estudian muy bien el terreno en el que se van a mover. Zack Allen, director de inteligencia de amenazas en ZeroFox, declaró que estos piratas informáticos utilizan herramientas de recopilación de datos para trazar un organigrama detallado de la empresa o perfil que van a atacar y así, encontrar los empleados más recientes que son el punto débil para engañarlos y hacerse pasar por personal interno.
Aunque el ‘vishing’ es una práctica reciente, el protagonismo que ha alcanzado estas últimas semanas es considerable. Los últimos ataques a diversas empresas se han centrado en el “intercambio de SIM”. Los piratas informáticos engañan a los empleados para que les transfieran el servicio telefónico de una víctima a una tarjeta SIM y así, poder utilizar los códigos de autenticación para restablecer las contraseñas de las diversas cuentas. Y, aunque en un principio, este ataque tiene como objetivo a empresas de telecomunicaciones, tras los últimos movimientos, Twitter también está en el punto de mira.
A diferencia del ‘phishing’ tradicional, en el que hay correos electrónicos como trampa, con esta técnica por voz no hay pruebas concretas que puedan hacer sospechar a la víctima. Este método es mucho más difícil de detectar que el ‘phishing’ tradicional. Aún así, siempre es mejor prevenir con antelación. Es el momento de que las empresas capaciten a sus empleados para detectar con precisión estos posibles fraudes y a no ofrecer información clave sin tener la máxima certeza de quién es su destinatario.