El incidente de Twitter puso en evidencia que no es necesario forzar la seguridad de sistemas para vulnerarlos, basta ejecutar tácticas de ingenieria social
Según explicó en su blog, Twitter fue víctima de una vieja táctica en cuestiones de seguridad, la ingeniería social. El 15 de julio de 2020, 45 cuentas de la red social dirigida por Jack Dorsey sufrían lo que en ese momento pareció un hackeo a los sistemas de seguridad. Las cuentas vulneradas, entre las que se encontraba Apple, Barack Obama, Jeff Bezos, Joe Biden, Bill Gates, entre otras, mostraban mensajes de invitación a transferir a una dirección de bitcoin con la falsa promesa de recibir el doble del monto transferido en la criptomoneda. Así, el gigante de las redes sociales sucumbió ante la ingeniería social.
Twitter explicó el 18 de julio de 2020, "creemos que los atacantes atacaron a ciertos empleados de Twitter a través de un esquema de ingeniería social". Asimismo, la red con sede en San Francisco detalló, "los atacantes manipularon con éxito a un pequeño número de empleados y utilizaron sus credenciales para acceder a los sistemas internos de Twitter". En total se intentó el acceso a 130 cuentas, pero los estafadores pudieron tomar el control solo de 45. Esto fue suficientemente rápido como para lograr en pocas horas, transferencias de bitcoin equivalentes a más de 100 mil dólares. La tecnología blockchain protege el anonimato de las transacciones pero muestra de forma transparente el monto de las transacciones de una cuenta.
Las tácticas de ingeniería social no son un elemento nuevo, los atacantes suelen sacar provecho de las circunstancias, sin forzar a los sistemas ni vulnerar la seguridad. En 2018, el operador Jeffrey Wrong, de la Agencia Estatal de Hawai permitió le tomaran una fotografía durante una entrevista periodística, sin percatarse que en un monitor tenía un post-it con su contraseña. Esto lo utilizaron hackers para generar una falsa alarma de la inminencia de un misil proveniente de Corea del Norte. El error humano también formó parte de tácticas de ingeniería social, aunque en ese caso no hubo intención por parte de atacantes, sino un simple descuido del operador de la agencia y una mala práctica de la agencia en asuntos sensibles como la gestión de contraseñas.
Por su parte, Twitter se sinceró en la entrada del blog y expresó, "estamos avergonzados, decepcionados, y más que nada, lo sentimos". El incidente lo está investigando la red social junto con la policía federal. La firma tecnológica no aclaró si los atacantes accedieron a mensajes privados de las cuentas usurpadas, pero precisaron, "no hay pruebas de que los atacantes obtuvieran las contraseñas de las cuentas de las que consiguieron tomar control el pasado miércoles".
De acuerdo a una investigación del diario The New York Times, el ataque lo realizó un grupo de jóvenes sin vínculos con el crimen organizado. Asimismo, el medio corroboró no se trató de un ataque de otro país o un equipo sofisticado de hackers. La vieja táctica de ingeniería social logró el objetivo de hacer caer en un error h