Explicación de los ataques de phishing con lanza y de cómo uno condujo al hack de Bitcoin de Twitter

El phishing con lanza puede que no sea el ataque más sofisticado o tecnológico, pero fue suficiente para lanzar una estafa masiva de bitcoin en Twitter.

Twitter está de nuevo en el punto de mira de los medios de comunicación debido a un reciente ciberataque que tuvo lugar utilizando un método de intrusión llamado ’spear phishing‘, e incluyó un número de grandes cuentas de celebridades que fueron comprometidas para generar Bitcoin. El hacking goza de un lugar único en los medios, ya sea relacionado con los videojuegos o como noticia en el mundo de los negocios y la tecnología. Sin embargo, lo que es el hacking sigue siendo un reto para responder debido a la amplia gama de actividades que se podrían denominar como hacking.

Con la misma frecuencia que las películas glorifican la piratería informática, el acto de penetrar deliberadamente en sistemas de software o hardware y utilizarlos de forma no intencionada (y en algunos casos, ilegal), es mucho más difícil de explicar. Las luces coloridas en la pantalla y los rompecabezas, junto con los pitidos con cada pulsación de un botón en un teclado, proporcionan una imagen glamorosa a la comunidad de piratas informáticos que, en la mayoría de los casos, se basa en las horas dedicadas a la revisión de la documentación técnica y en muchas más dedicadas a las pruebas de seguridad.

El 30 de julio, Twitter informó a los usuarios de que se disponía de una actualización oficial sobre la violación de la seguridad y que se detallarían los hallazgos a partir de ese momento.

En las respuestas al Tweet inicial de la misma cuenta de apoyo, Twitter describió que esta penetración se produjo a través de un vector humano – se utilizaron seres humanos para obtener acceso. Este ataque, que en última instancia tuvo como objetivo 130 cuentas, y que llevó a que algunas cuentas de usuarios secuestrados twittearan sobre la donación de monedas de bits, se basó en la obtención de credenciales de los funcionarios mientras se buscaban continuamente empleados adicionales de los que poder obtener un medio de entrada. A pesar de que los miembros de los equipos que trabajan duro actúan para prevenir y responder a las amenazas a la seguridad, siguen siendo comunes a medida que avanza la era de la información.

Ataque simple pero efectivo

A veces no es necesario saber cómo entrar en un sistema operativo, explotar un formulario de acceso, o ser capaz de sacar un muelle frontal. Si uno quiere poseer las llaves de un castillo, puede significar atravesar una entrada, escalar paredes o abrir un agujero en ellas. Sin embargo, los seres humanos se parecen mucho a los castillos y si alguien no está familiarizado con la ingeniería social, entonces podría tener una vulnerabilidad y podría ser engañado para divulgar dónde se deja la llave colgando. Algunos ataques son complejos, causando interrupciones en todo el sistema donde el control se pierde casi o completamente y la recuperación viene con un rescate. En contraste, con los humanos vulnerables de alguna manera, este sigue siendo un ataque simple pero efectivo.

El ataque demostró ser una mala noticia para Twitter, que fue necesario para asegurar el acceso e identificar lo que salió mal, al mismo tiempo que se ganó exactamente el tipo de prensa que no quería. La intrusión fue particularmente costosa porque la violación implicaba muchas cuentas verificadas, lo que significaba que algunos de los usuarios más conocidos tenían motivos para ser mencionados en las noticias, al tiempo que proporcionaban un pobre enlace de retroceso a Twitter. Sin embargo, las empresas no están sin esperanza, ya que aunque este problema es devastador, no es un fenómeno nuevo. Como Twitter describió a través de su cuenta de apoyo, esto fue una llamada de atención. Los conocimientos adquiridos a partir de la experiencia permiten educar sobre el problema como un estudio de caso, y el mundo corporativo puede utilizar esos mismos conocimientos para ayudar a defenderse contra ciberataques similares procedentes de un vector humano, Twitter o de otro tipo.