En Venezuela cada vez son más frecuentes las estafas por la venta de dolares usando cuentas Instagram. El hackeo a la cuenta Twitter de Jack Dorsey puede dar luces del procedimiento que están usando los ciberdelincuentes para tomar control de las cuentas Instagram.
Una de las modalidades para tomar control de las cuentas Instagram es el uso de correos electrónicos usados para hackear a través de phishing: las víctimas reciben un correo de soporte técnico, donde les informan que deben iniciar sesión en su correo a través del link que les enviaron, ya que su cuenta podría ser desactivada y así roban las claves para ingresar.
Pero hay otra forma de hackear una cuenta Instagram. Lean la historia y verán que es muy posible que los criminales usen también el Intercambio de SIM para esta cometer esta estafa.
El viernes por la tarde, los 4,2 millones de seguidores de Jack Dorsey en Twitter tuvieron una sorpresa desagradable. Un grupo de vándalos había obtenido acceso a la cuenta, y utilizó ese acceso para lanzar una corriente de mensajes ofensivos. En 15 minutos, la cuenta volvió a estar bajo control, pero el incidente fue un recordatorio de las vulnerabilidades graves incluso en las cuentas de más alto perfil, y cuán insegura se ha vuelto la autenticación basada en el teléfono.
Los piratas informáticos entraron a través del servicio de texto a tweet de Twitter, operado por el servicio adquirido Cloudhopper. Con Cloudhopper, los usuarios de Twitter pueden publicar tweets enviando mensajes de texto a un número de código corto, generalmente 40404. Es un truco útil para teléfonos sencillos o si simplemente no se tiene acceso a Twitter. El sistema solo requiere vincular su número de teléfono a su cuenta Twitter. Como resultado, el control de su número de teléfono suele ser suficiente para publicar tweets a tu nombre.
Resulta que obtener el control del número de teléfono de Dorsey no fue tan difícil como parece. Según una declaración de Twitter, una falla de seguridad por parte del proveedor permitió que los piratas informáticos obtuvieran el control. En términos generales, este tipo de ataque se llama piratería de SIM: esencialmente se trata de convencer a un operador de que asigne el número de Dorsey a un nuevo teléfono que controlaron. No es una técnica nueva, aunque se usa con más frecuencia para robar Bitcoin o cuentas Instagram.
Usted puede Puede protegerse de estos hackeos agregando un código PIN a su cuenta de operador o registrando cuentas web como Twitter a través de números de teléfono ficticios, pero esas técnicas pueden ser demasiado para el usuario promedio. Como resultado, el intercambio de SIM se ha convertido en una de las técnicas favoritas de los hackers, y como descubrimos hoy, funciona con más frecuencia de lo que piensas.
Chuckling Squad, el equipo que se hizo cargo de la cuenta de Dorsey, ha estado jugando este truco durante años. Sus ataques más destacados hasta este momento han sido una serie de personas influyentes en línea con hasta diez figuras diferentes que fueron atacadas antes de Dorsey. Parecen tener un truco particular con AT&T, que también es el operador de Dorsey, aunque no está claro exactamente cómo obtuvieron el control. (AT&T no respondió a una solicitud de comentarios).
La historia de este tipo de hackeo es mucho más antigua que el SIM Swapping. Cualquier usuario que autorice a una app a tuitear en su nombre, también facilitará que un hacker tome el control de la cuenta. Esa técnica se ha vuelto menos prominente a medida que las técnicas de intercambio de SIM se han vuelto más ampliamente entendidas, pero los objetivos básicos del vandalismo no han cambiado.
Aún así, el incidente es vergonzoso para Twitter, y no simplemente por la lucha inmediata para recuperar el control de la cuenta del CEO. El mundo de la seguridad ha sabido sobre los ataques de intercambio de SIM durante años, y la cuenta de Dorsey había sido destrozada antes. La simple falla en asegurar el control de la cuenta del CEO es una falla significativa para la compañía, con implicaciones que van más allá de unos pocos minutos de caos. Con suerte, Twitter aprenderá del incidente y priorizará una seguridad más fuerte, tal vez incluso alejando la verificación de Twitter de los SMS, pero dado el historial de la compañía, dudo que muchas personas contengan la respiración.