Un hackeo masivo sin precedentes en la red social Twitter ha dejado al descubierto posibles riesgos en seguridad de esta plataforma que afectarían a las cuentas verificadas de numerosas personalidades y compañías, como así ha sido en el caso de los magnates Bill Gates y Elon Musk, el expresidente de EE UU Barack Obama, el músico Kanye West, la empresa de movilidad Uber o la tecnológica Apple, entre otras.
Esta estafa de tipo “giveaway”, cuyo origen y alcance aún están bajo investigación, tenía como objetivo convencer a millones de usuarios de la plataforma del contenido de una serie de mensajes fraudulentos en los que se les instaba a abrir un enlace y pagar una cantidad de dinero en la moneda virtual Bitcoin.
Desde Proofpoint, su director sénior de Estrategia de Ciberseguridad en la región de EMEA, Loïc Guézo, recuerda que “los ciberdelincuentes siguen teniendo en el punto de mira a las personas, incluso en escenarios en los que se puedan ver comprometidos ciertos sistemas”.
“Según se ha podido constatar a través de la ingeniería social de esta estafa, los atacantes se dirigieron a empleados de la compañía Twitter que disponían de acceso a determinadas herramientas internas, aprovechándose de la confianza que despierta el hecho de que una cuenta esté verificada y del atractivo que supone que te devuelvan el doble de una cantidad de dinero”.
Para que la estafa pareciese auténtica, se estableció un límite de tiempo para llevar a cabo la operación y se puso a disposición de los usuarios una opción de pago fácil con la que conseguir una respuesta aún más rápida. Proofpoint recuerda que los actores de amenazas tienen muy en cuenta la naturaleza humana y, por ello, se enfocan de manera implacable en sacar tajada de esa confianza que tiene la sociedad de hoy en día en los canales digitales.
Hackeo para captar Bitcoins
Este ataque a la plataforma Twitter sería a su vez la evolución de una anterior estafa con criptomonedas que había sido observada a principios de 2018 por el equipo de investigación de Proofpoint. Este tipo de fraudes tiene como blanco de los ataques a usuarios de Ethereum y Bitcoin, a quienes se les suele pedir que envíen una pequeña cantidad de dinero a cambio de un supuesto pago mucho mayor en la misma divisa digital.
Si bien los ciberdelincuentes distribuyen con bastante frecuencia malware de criptominería o lanzan ataques de phishing de credenciales en monederos o cambios con criptomonedas, estas estafas “giveaway” se posicionan como una nueva táctica mediante la cual robar estas divisas, algo que recuerda a los fraudes “419” tan comunes hace unos 10 o 15 años. Esto viene a refrendar el hecho de que los atacantes continúan buscando nuevas formas con las que explotar el denominado factor humano, y que también las personas son propensas a caer víctimas de cualquier estafa que les prometa conseguir fácilmente commodities como criptomonedas.
La compañía de ciberseguridad Proofpoint indica que estas estafas “giveaway” han tenido su pico más alto de incidencia en abril de este año, aunque normalmente tienen su origen en cuentas falsas de Twitter creadas para generar clics y retuits. Dado el repunte en cuanto a valor de estas divisas digitales y el interés que estas generan entre los usuarios, será sin duda uno de los apartados en los que poner atención en los próximos meses.