Esta es la oferta de dos de los hombres más ricos del mundo, Elon Musk y Bill Gates: envíales cualquier cantidad de dinero en Bitcoin y te devolverán la cantidad doblada. Pero tienes que darte prisa porque sólo lo harán durante los próximos 30 minutos.

Apple y Uber, también en un ataque de generosidad, quieren repartir más de 10 millones de dólares entre sus clientes usando el mismo sistema.

¿Una estafa? Por supuesto. Lo sorprendente es la escala de la misma y el hecho de que quienes están detrás de ella han conseguido hackear las cuentas de Twitter de varias personalidades y compañías verificadas, algunas con el sistema de doble verificación activo, lo que podría apuntar a un serio problema de seguridad para la red social.

Los mensajes de spam comenzaron a circular hacia las 9 de la noche del miércoles 15 de julio, en primer lugar asociados a bolsas y servicios de cambios de criptomonedas como Gemini, Bitfinex o Coinbase.

Un poco más tarde, sin embargo, los mensajes empezaban a aparecer en los perfiles de personalidades y empresas conocidas pero sin vínculos con el mundo de las criptodivisas o el bitcoin, como los de Bill Gates, Kanye West, Jeff Bezos o Apple.

Conforme ha avanzado la noche, perfiles de personalidades políticas, incluido el candidato a la presidencia de los EEUU, Joe Biden, también ha sido atacadas.

A pesar de los esfuerzos de Twitter por borrar estos mensajes, los atacantes han sido capaces de emitirlos varias veces desde las mismas cuentas. Twitter muestra en cada tweet la herramienta que se usó para redactarlo y en todos los casos parecen enviados desde la web de la empresa, no desde una app.

GRAVE FALLO DE SEGURIDAD

Se desconoce, por el momento, cómo lo han logrado pero es sin duda el mayor fallo de seguridad que ha sufrido la red social desde sus inicios. Twitter acompaña cada tweet con un mensaje con la herramienta que se usó para publicarlo y en todos los casos parecen enviados desde la web, no desde una app.

La técnica parece diferente, por tanto, a la que han aprovechado algunos atacantes en ocasiones anteriores, y que usaba los certificados de desarrollador ya abandonados de clientes de terceros o apps a las que el usuario había dado su consentimiento para acceder a la red social.

Cameron Winklevoss, uno de los responsables del servicio de intercambio de criptodivisas Gemini, explica que el ataque ha afectado a cuentas que tienen incluso la autenticación de doble factor activada.

Esta capa de protección adicional obliga a los usuarios a verificar su identidad mediante un código enviado al teléfono o el correo cuando acceden al servicio desde un nuevo dispositivo o una nueva ubicación.

Esto significa que tampoco se trata de un robo de las contraseñas de estas cuentas y podría apuntar a un serio fallo de seguridad en la red social, un fallo desconocido que permite a cualquier asaltante escribir como si fuera otra persona.

Varias cuentas afectadas han descubierto, de hecho, que la dirección de correo asociada a su cuenta habría sido cambiada, lo que podría apuntar a un ataque directo a los servidores y bases de datos de Twitter. Para mitigar el alcance del ataque, Twitter llegó a prohibir temporalmente tuitear desde cuentas verificadas. Es la primera vez en la historia que la compañía toma una medida tan drástica.

PESCANDO BITCOINS

En este caso, lo que los atacantes buscaban eran Bitcoins. Aunque los mensajes estaban redactados de diferentes formas en todos se pedía al usuario que enviase sus criptomonedas a una dirección. A cambio, supuestamente, recibiría esa cantidad doblada.

Aunque parece una estafa poco sofisticada y bastante obvia, al cierre de este artículo la dirección registraban más de 350 transferencias por un valor superior a 118.000 dólares.

Varios analistas de seguridad apuntan a que los atacantes podrían haber hecho mucho más dinero manipulando la bolsa con los mensajes lanzados desde estas cuentas o causado una grave crisis diplomática poniendo en boca de líderes mundiales cualquier mensaje.

UNA HISTORIA CONOCIDA

Aunque la escala de este ataque no tiene precedentes no es la primera vez que Twitter tiene que lidiar con estafadores de criptomonedas en su red. En 2018 la empresa decidió bloquear a cualquier usuario que cambiase su nombre por el de Elon Musk ante la avalancha de estafas que usaban la imagen y el nombre del fundador de Tesla.

Una táctica común de los estafadores consistía en hackear la cuenta de un usuario verificado pero con pocos seguidores y cambiar su foto de perfil y nombre por el de Elon para, a continuación, ofrecer grandes cantidades de dinero en Bitcoin a quienes pulsaran en un enlace fraudulento.

Ese mismo año, Twitter adquirió la empresa de seguridad Smyte con la intención de reforzar sus defensas ante ataques de spam.