Twitter & Bitcoin fiasco
Contexto
El día de ayer, 15 de julio de 2020, vulneraron la ciberseguridad de Twitter al comprometer cuentas de líderes de alto perfil e influencers en tecnología (incluida la cuenta de autor de este artículo, nuestro socio Administrador Carlos Valderrama), espectáculos y política con el fin de estafar al público en general para obtener bitcoins a través de una técnica conocida como “social engineering” específicamente como “baiting”.
Afortunadamente Carlos Valderrama detectó a tiempo la vulnerabilidad cambiando la contraseña de inmediato, por lo que los atacantes no tuvieron oportunidad de enviar tweets desde su cuenta.
¿Qué es un social engineering| baiting attack?
El término social engineering es usado como un conjunto de técnicas maliciosas encaminadas a manipular psicológicamente a individuos para engañarlos y hacerlos caer en riesgos de ciberseguridad, entregar información sensible o recursos.
En específico la técnica conocida como bating o cebo implica hacer falsas promesas con el fin de pescar la codicia o curiosidad de posibles víctimas.
En este caso, los atacantes postearon en las redes de personajes como Barack Obama, Jeff Bezos y Elon Musk tweets prometiendo que en caso de que alguien les enviara bitcoins a su cuenta (la misma en todos los casos), ellos regresarían el doble de bitcoins enviados.
¿Cómo pasa un social engineering attack?
Típicamente el hacker investiga a las víctimas identificando puntos débiles en su ciberseguridad o potenciales puntos de entrada para vulnerar sus protocolos.
En este caso, Twitter reconoció que los hackers engañaron a algunos de sus empleados que tenían acceso a sus sistemas y protocolos (más información aquí).
¿Cómo pueden prevenir las organizaciones un ataque?
Te recomendamos visitar nuestro post ¿qué es la ciberseguridad? (más información aquí). No obstante, destacamos algunos puntos principales:
a. Principio de minimización: Construcción de la Infraestructura Tecnológica bajo el principio de minimización de la información y legitimidad de conocimiento. Lo anterior, a fin de limitar el acceso a la información y disminuir riesgos relacionados;
b. Acceso de usuarios: Solicitar el uso de contraseñas seguras que se modifiquen constantemente, implementando factores de múltiple autenticación, así como revocando de inmediato credenciales de ex colaboradores o ex proveedores de servicios;
c. Encriptar información sensible. En caso de que tu plataforma guarde los usuarios y claves de acceso de tus usuarios es recomendable encriptar dicha información, de esta manera aunque los atacantes tengan acceso, como en el caso de Twitter, les resultaría difícil controlar las cuentas de sus clientes.
d. Monitoreo: Desarrollar procesos que permitan el monitoreo de intentos fallidos de acceso, cambios de medios de acceso, mejoras en la infraestructura tecnológica, así como investigaciones de cualquier anomalía.
Lo anterior, además de establecer políticas de control de acceso de información y monitoreo de accesos para todos los empleados, limitando el número de personas que tienen acceso a la información sensible de los usuarios.
Al tener estas prácticas es fácil saber quién vulneró la seguridad.
e. Pentest. Tener políticas y metodologías para la realización de pruebas de vulnerabilidades sobre el código de la infraestructura tecnológica, la aplicación web, servidores, bases de datos, estaciones de trabajo. Lo anterior, cubriendo la infraestructura interna y externa (de proveedores relevantes).
f. Seguridad perimetral. Implementar capacidades para controlar, monitorear e inspeccionar el tráfico de datos hacia y desde la FinTech como firewalls, sistemas de detección de intrusos, encriptación, bloqueo de bases de datos compartidas en la nube, redes sociales, así como puertos.
¿Cómo puedo prevenir un ataque como usuario?
Muy fácil siguiendo el principio básico y universal: Si ves en internet algo muy bueno como para ser cierto, seguramente es una estafa. En adición:
a. Email. No abras correos que no esperas o de fuentes desconocidas. Incluso si son de fuentes conocidas pero la manera en la que se presenta el correo no es normal o te resulta sospechoso, no lo abras.
b. Factores de doble autenticación. Normalmente los hackers aprovechan vulnerabilidades en las credenciales (usuario y contraseña) por lo que si usas factores de doble autenticación puedes impedir un ataque.
c. Antivirus. Manten tu antivirus / antimalwere actualizado.
Es importante tomar en cuenta que la aplicación de todas estas medidas es lo que logra tener una mayor protección, ninguno de estos factores por sí solo puede ser una estrategia de ciberseguridad completa, ya que como vimos en el caso de Twiter la mayoría de las cuentas tenía el segundo factor de autenticación activado y aún así fueron hackeadas.
¿El uso de Bitcoin en esta estafa da anonimato al hacker?
Una gran ventaja que se desprende de la tecnología subyacente al Bitcoin, Blockchain, es su completa trazabilidad. Dicha característica permite trazar por completo todos los movimientos que se realizan.
En este caso, puedes acceder a la cuenta de los hackers y ver que al día de hoy han realizado 381 transacciones, así como seguir exactamente cuáles fueron todos los pasos que llevaron a cabo con su cuenta (más información aquí).
Lo anterior incluso es realizado de manera profesional por firmas como Chainalysis (más información aquí) que rastrean y dan trazabilidad a las operaciones que se realizan en Blockchain, incluso en protocolos que en principio garantizan una mayor privacidad como Zcash o Dash.
Para este caso Chainalysis se encuentra monitoreando las cuentas asociadas con el ataque determinando a la fecha que (más información aquí):
* La dirección más frecuente recibió 120.000 dólares en bitcoin de 375 transacciones. Las direcciones secundarias recibieron 6.700 dólares en bitcoin de 100 transacciones. Una billetera XRP no obtuvo nada.
* Hasta ahora, una billetera cuyas asociaciones aún no se conocen ha recibido 5 bitcoin (46.055 dólares) en total. "Estamos colaborando con nuestros clientes para encontrar pistas de esta cartera", dijo la portavoz de Chainalysis Maddie Kennedy.
* Parte de la estafa se basaba en que los hackers mezclaban su propia cripto entre las carteras para inflar el número de personas que parecían estar contribuyendo.
* Una cartera japonesa que envió a los estafadores 40.000 dólares en Bitcoin parece haber sido la mayor víctima.
* Los intercambios internacionales fueron generalmente la fuente de bitcoin de las víctimas, dijo Chainalysis.
¿El uso de Binance?
Evidentemente a fin de monetizar la estafa, los hackers requerían tener un mecanismo de salida para gastar el Bitcoin ganado. En ese contexto, gran parte del dinero objeto de la estafa, según investigadores de Bitquery, y luego de varios saltos logró ingresar con éxito a un monedero de Binance (más información aquí).
Binance como cualquier otra FinTech, debe cumplir con obligaciones de KYC (identificación del cliente) y monitoreo de las actividades del cliente para bloquear actividades sospechosas o vinculadas con lavado de dinero, financiamiento al terrorismo o ilícitos. En esa línea de ideas, Binance podría identificar a el o los hackers.
Conclusión
Curiosamente la noticia no es que vulneraron la seguridad de Twitter sino que los hackers realizaron una estafa usando bitcoin.
En dicho sentido es importante recalcar que la tecnología como bitcoin, no tiene per se un grado de bondad o maldad en ella, ese atributo se lo dan los humanos que hacen uso indebido de la misma.
Si bien es cierto, en esta oportunidad únicamente son recursos materiales de personas ingenuas que creyeron una oferta ridícula, un social engineering attack tiene la posibilidad de desestabilizar mercados financieros completos e incluso iniciar guerras.
En ese contexto, es de suma importancia reforzar las medidas de ciberseguridad ya que como decía un gran amigo hay tres tipos de empresas las que saben que fueron hackeadas, las que no lo saben y aquellas que serán hackeadas.
Finalmente llama la atención que la firma Elliptic (más información aquí) reporta que la mitad de los pagos recibidos por los estafadores provienen de Estados Unidos y la otra mitad de Asia y Europa, sin contar con usuarios de LATAM que es una de la regiones donde más se usan Bitcoins ¿será que en LATAM no somos tan ingenuos o por que en definitiva desconfiamos de todos?
Legal Paradox® es una firma legal 100% Mexicana enfocada en el sector FinTech & Blockchain.
Nuestro reto es empoderar al sector, cuando iniciamos, FinTech & Blockchain no eran conceptos de referencia en el país; por ello día con día hemos perseguido esta misión y así hemos generado un cambio en el mundo financiero mexicano. Desde la creación de este despacho, en junio del 2017, hasta ahora hemos trabajado de la mano con más de 190 empresas del sector, es decir más del 30% de las existentes en el país.
En menos de 2 años fuimos reconocidos por Chambers & Partners como parte de la élite FinTech legal en México, estos resultados se deben a que basamos nuestra operación en tecnología, incluso trabajamos nuestros propios desarrollos como el mapa del FinTech Tour y el Parabot, un asistente basado en inteligencia artificial que tiene el objetivo de ayudar a una persona o empresa a encontrar soluciones FinTech.
Entender a profundidad la tecnología nos ha llevado a encontrar como sí es posible lograr disrupción innovadora en el sector Financiero, por eso nuestros clientes nos recomiendan principalmente por entender su negocio e incluso potenciarlo.
El uso de los nombres, marcas, imágenes y links de terceros, contenidas en el presente artículo, son propiedad de dichos terceros y se usan únicamente para efectos meramente ilustrativos.
El presente y su contenido no podrán interpretarse como asesoría legal, por lo que recomendamos contratar a su asesor de preferencia.
Todos los derechos reservados ®.
Commentaires