Mientras Twitter intentaba combatir los bulos, le surgió un problema incluso mayor
El último ciberataque sufrido por Twitter terminó con las cuentas de Obama, Musk o Biden hackeadas por un adolescente desde la casa de sus padres. Lo hizo sirviéndose de la llamada 'ingeniería social'. ¿Qué es eso? ¿Cómo se combate?
El pasado miércoles 15 de julio, Twitter, la que se consideraba la red social más segura del planeta, la fortaleza inexpugnable de Jack Dorsey, sufrió el peor ciberataque de su historia y se derrumbó como un castillo de naipes. El asalto fue obra de un pequeño grupo de hackers anónimos de entre 17 y 21 años que se coordinaron de manera espontánea, desde distintas ciudades de Gran Bretaña y Estados Unidos.
No fue un acto de terrorismo informático a gran escala perpetrado por potencias hostiles como Rusia, Corea del Norte, Irán o la República Popular China. Tampoco el elaborado complot de alguno de los rivales comerciales de la red de Dorsey. Su autor intelectual y principal responsable fue, al parecer, un menor de edad llamado Graham Clark que vive en casa de sus padres en Tampa, Florida, y que consiguió reclutar a un par de cómplices a través de Discord, una plataforma de mensajes frecuentada por aficionados a los videojuegos y la informática.
Clark fue detenido el sábado 1 de agosto. Se le acusa de hasta 30 delitos de estafa, violación de la intimidad de las comunicaciones y fraude organizado. Se ha metido en un lío, pero no ingresará en prisión y acaba de convertirse en el ídolo de la comunidad internacional de hackers, una tribu urbana de aspirantes a forajidos de la informática que sueña con hacer caer torres tan altas como Twitter, una red social con 1.300 millones de cuentas registradas y un promedio mensual de 340 millones de usuarios activos, según datos de Statista.
Durante unas horas, Clark tuvo pleno acceso a las cuentas verificadas de grandes personalidades como Joe Biden, Barack Obama, Jeff Bezos, Elon Musk, Kanye West, Warren Buffet o Michael Bloomberg. Las utilizó para pedir donaciones en la criptomoneda bitcoin bajo el hashtag #cryptoforhealth y, aunque cueste creerlo, llegó recaudar más de 100.000 dólares en menos de tres horas. En total, según ha reconocido Twitter en su blog corporativo, Clark y su pequeño escuadrón pirata dirigieron sus ataques contra “130 cuentas, consiguieron cambiar la contraseña de acceso y enviar mensajes desde 45 de ellas y pudieron descargar la información de ocho, incluidos los mensajes privados”. Twitter reconoce que entre las ocho cuentas pirateadas hasta la médula está la de un alto cargo del gobierno de los Países Bajos.
Hecho es fácil
¿Cómo lo consiguieron? Según explica en su blog el experto en seguridad informática Brian Krebs, recurriendo a la llamada “ingeniería social”. Es decir, “manipulando, engañando, chantajeando o extorsionando” a un número indeterminado de trabajadores de Twitter para conseguir sus credenciales profesionales, con las que accedieron a las herramientas de gestión de usuarios de la red. Haciendo uso, en definitiva, “del factor humano”. Twitter reconoce que las credenciales obtenidas les permitían acceder “potencialmente” a la cuenta de cualquiera de los usuarios e intentar controlarla. Durante horas, los piratas camparon a sus anchas por las entrañas de la red. Twitter desconoce aún qué otras “actividades maliciosas” desarrollaron en ella al margen de publicar tuits en nombre de usuarios VIP para intentar recaudar dinero.
Tal y como explica Nick Bilton en un muy citado artículo en The New York Times, All is fair in love and Twitter (En el amor y en Twitter, todo vale), la red nació en 2006 como herramienta para que usuarios anónimos les contasen en tiempo real y de manera muy breve (un máximo de 140 caracteres) a sus amigos cómo se encontraban y qué estaban haciendo. Uno de sus creadores, Evan Williams, explicó poco después de lanzarla en qué consistía el invento en el programa de Oprah Winfrey. Gracias a esa publicidad televisiva, la red consiguió varios millones de nuevos usuarios en muy pocos días.
Durante horas, los piratas camparon a sus anchas por las entrañas de la red. Twitter desconoce aún qué otras “actividades maliciosas” desarrollaron en ella al margen de publicar tuits en nombre de usuarios VIP para intentar recaudar dinero
Jack Dorsey vio así el potencial de crecimiento de su nuevo juguete si se le daba un enfoque VIP y empezó a esforzarse por atraer a famosos que estuviesen dispuestos a compartir su vida cotidiana y sus reflexiones a través de Twitter. El matrimonio que formaban por entonces Ashton Kutcher y Demi Moore se subió a la red y contribuyó a crear una tendencia de crecimiento imparable. Tal y como explica el experto en tecnología Enrique Dans en su libro Viviendo en el futuro (Deusto, 2019), “con el tiempo, Twitter pasó de ser una constante jaula de grillos a convertirse prácticamente en el sistema nervioso del planeta”. La herramienta utilizada “por cualquier famoso para comunicarse con sus fans, por políticos y estadistas para hacer anuncios importantes o por periódicos para difundir sus noticias”.
Un arma cargada
En No mires a los ojos de la gente, el capítulo que Dans dedica en su citado ensayo a las redes sociales, el experto recuerda cómo ya en 2013, “un grupo de hackers denominado Syrian Electronic Army logró mediante ingeniería social acceder a la cuenta de Associated Press” y publicar en ella un tuit sobre un (falso) atentado en la Casa Blanca en el que habría resultado herido de gravedad el presidente Barack Obama. Eso, según recuerda Dans, desencadenó una caída de 145 puntos en los índices bursátiles “en aproximadamente dos minutos”, lo que se tardó en desmentir la noticia y retirar de la circulación el tuit incendiario.
Dorsey y su equipo no pueden decir que no fuesen conscientes de lo peligrosa y volátil que resulta el arma que tienen entre manos. Por ello, lleva esforzándose desde 2018 por pulir las aristas del que algunos consideran un entorno “tóxico” para perseguir, por ejemplo, los comportamientos antisociales, las injurias o el acoso a determinados usuarios, así como el uso de cuentas múltiples. La asignatura pendiente parecía ser la difusión sistemática de noticias falsas por parte de fuentes interesadas, un cáncer que ya ha hecho metástasis y resulta muy difícil de extirpar, porque la red se propuso desde el principio no tomar medidas que limitasen la libertad de expresión y ahora es prisionera de su propia lógica.
Hoy sabemos que la seguridad de la red es también un serio problema. En la madrugada del 15 de julio, un tal ‘Kirk’ empezó a presumir en Discord de que trabajaba en Twitter y tenía pleno acceso a las herramientas de gestión de cuentas. Eso llamó la atención de otros dos usuarios, ‘lol’ y ‘ever so anxious’, que acabarían convirtiéndose en cómplices no del todo reticentes de sus actividades delictivas. Aunque nunca se llegaron a creer que su interlocutor fuese verdaderamente un empleado de Twitter, lo cierto es que sí tenía acceso a las vísceras de la red social, y seguirle el juego resultaba una tentación irresistible.
Kirk les pidió ayuda en su intento de vender online lo que en el argot informático se llama “cuentas primigenias”, es decir, nombres de usuario muy breves y, por tanto, difíciles de conseguir y muy cotizados en el entorno hacker. Entre todos, haciendo uso de las herramientas de gestión de que disponía Kirk, accedieron a cuentas como @y o @6 y las ofrecieron en subasta, consiguiendo vender varias de ellas. Uno de los compradores, ‘PlugWalkJoe’, fue identificado como Joseph O’Connor, británico de 21 años residente en España. Entrevistado por The New York Times días después del asalto a Twitter, O’Connor aseguró no haber participado en los hechos: “Que me arresten si quieren. Me reiré en sus caras. Soy inocente”.
Varias horas después, a las 15.30 de la costa atlántica de Estados Unidos, Kirk completó su magistral asalto empezando a acceder a cuentas VIP verificadas y lanzando desde ellas los (un tanto chapuceros) tuits con los que pretendía hacerse rico. A esas alturas, tal y como ellos mismos contaron al experto en tecnología y finanzas de The New York Times Nathaniel Popper, ‘lol’ y ‘ever so anxious’ se habían desmarcado ya de la cruzada solitaria de Kirk.
Hasta ahora, éramos conscientes de que ya vivíamos inmersos en la pesadilla orwelliana de la pérdida total de privacidad, pero no sabíamos hasta qué punto los colosos a los que hemos confiado toda esa información sensible tienen los pies de barro
Twitter recuperó el control pasadas las 18 horas. Su red había sufrido unas diez horas de ataque silencioso seguidas de dos y media de completa anarquía en las que hasta Jeff Bezos se convirtió en cómplice (involuntario, por supuesto) del timo de un adolescente enloquecido por su éxito. Brian Krebs cree que deberíamos “aprender la terrible lección”: la red que “el presidente de los Estados Unidos utiliza para comunicarse con el mundo es vulnerable”. Está a expensas de un error humano, “de una indiscreción, un paso en falso de un empleado”, y no todos los piratas informáticos capaces de acceder a su código y subvertir su funcionamiento normal van a ser adolescentes hiperventilados pero (relativamente) inofensivos, como Graham Clark, el presunto Kirk de nuestra historia. Nathaniel Popper considera poco menos que espeluznante que bastase con el esfuerzo conjunto de tres o cuatro jóvenes ociosos para “poner en jaque la red que utilizan los líderes políticos, las principales empresas y la élite cultural del planeta”. El problema no es que una red como Twitter sea vulnerable, sino que todos los que nos hemos asomado a ella, anónimos o famosos, lo somos también.
Nadie está a salvo
Enrique Dans cita en su libro unas palabras pronunciadas por el CEO de Apple, Tim Cook, en la Universidad de Stanford en junio de 2019. Cook decía que, si nos resignamos a la vigilancia digital permanente, “a que todo lo que escribes, todo lo que dices, cada tema, cada curiosidad, cada pensamiento perdido, cada compra compulsiva, cada momento de frustración o de debilidad, cada queja, cada reclamación, cada secreto compartido en confianza” estén permanentemente expuestos a la curiosidad universal, ya sea maliciosa o benigna, acabaremos viviendo en un mundo “pequeño e inimaginable”. Cook opina que “nos merecemos algo mejor, te mereces algo mejor”.
Hasta ahora, éramos conscientes de que ya vivíamos inmersos en la pesadilla orwelliana de la pérdida total de privacidad, pero no sabíamos hasta qué punto los colosos a los que hemos confiado toda esa información sensible tienen los pies de barro, no son capaces de desarrollar una estrategia coherente y seria para proteger lo que saben de nosotros. Incluso los mensajes privados de un candidato a presidente de los Estados Unidos como Joe Biden pueden ser pirateados. Y no hace falta que lo haga un servicio secreto que conspira por la destrucción de Occidente. Un pirata de agua dulce nacido en Florida hace 17 años se basta y se sobra para asaltar cualquier fortaleza inexpugnable y sembrar el caos.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.