Años antes del gran ciberataque, las celebridades de Twitter ya habían sido víctimas de espionaje

Habrían utilizado el acceso privilegiado a herramientas internas de la red social para acceder a esos perfiles. El dato surge de una investigación realizada por Bloomberg.

Guardar
Twitter, en el ojo de la tormenta tras el ciberataque que sufrió hace unos días (REUTERS/Dado Ruvic/Illustration/File Photo)
Twitter, en el ojo de la tormenta tras el ciberataque que sufrió hace unos días (REUTERS/Dado Ruvic/Illustration/File Photo)

Twitter tuvo dificultades durante años para vigilar el creciente número de empleados y contratistas que tienen la capacidad de restablecer las cuentas de los usuarios y anular su configuración de seguridad. Se trata de un problema del cual el director ejecutivo, Jack Dorsey, y la junta han sido advertidos varias veces desde 2015, según explicaron ex empleados con conocimiento de las operaciones de seguridad de la compañía.

La supervisión de Twitter sobre los 1.500 trabajadores que restablecen cuentas, revisan las infracciones de los usuarios y responden a posibles violaciones de contenido de los 186 millones de usuarios diarios del servicio ha sido una fuente de preocupación recurrente, dijeron los empleados. La amplitud de los datos personales a los que la mayoría de esos trabajadores pueden acceder es relativamente limitada, incluidas direcciones de protocolo de internet, direcciones de correo electrónico y números de teléfono, pero es un punto de partida para espiar o incluso hackear una cuenta, dijeron.

Los controles fueron tan porosos que, en un momento, en 2017 y 2018, algunos contratistas iniciaron una especie de juego en el que creaban consultas falsas de la mesa de ayuda que les permitían echar un vistazo a las cuentas de celebridades, entre ellas Beyoncé, para rastrear los datos personales de las estrellas, incluidas sus ubicaciones aproximadas obtenidas de las direcciones IP de sus dispositivos, dijeron dos de los ex empleados.

Las preocupaciones sobre la capacidad de Twitter para proteger los datos de los usuarios se profundizaron este mes, después de que ciberdelincuentes secuestraran las cuentas de algunos de sus usuarios más famosos, incluidos líderes políticos, destacadas personas de negocios y celebridades, como parte de una aparente estafa de criptomonedas. La presión en Twitter para proteger a sus usuarios no se limita a los datos personales que recopila sobre ellos –que es mínima en comparación con otras redes sociales–, sino que se extiende a la influencia que ejercen sus usuarios, especialmente los líderes mundiales o los disidentes políticos que se oponen a ellos.

Mientras las investigaciones federales e internas están en curso, Twitter ha dicho que los ciberdelincuentes de alguna manera engañaron a los empleados para obtener acceso a las cuentas pirateadas.

Los atacantes contactaron al menos a un empleado de Twitter por teléfono, en un esfuerzo por obtener información de seguridad que los habría ayudado a acceder a las herramientas internas de soporte al usuario de Twitter, según personas familiarizadas con la investigación.

Jack Dorsey, CEO de Twitter (REUTERS/Toby Melville/File Photo)
Jack Dorsey, CEO de Twitter (REUTERS/Toby Melville/File Photo)

Twitter requirió que los empleados tomaran un curso de capacitación en seguridad online la semana pasada, que cubrió una serie de técnicas de phishing, incluidas llamadas telefónicas, agregaron las personas. Una vocera de Twitter dijo que la compañía lleva a cabo una capacitación de seguridad regular, “en línea con nuestro compromiso de proteger la privacidad y la seguridad de las personas a las que servimos”.

La vocera cuestionó la descripción por parte de los ex empleados de la supervisión de las cuentas de usuario de la empresa y afirmó que la compañía tiene herramientas para “adelantarse a las amenazas a medida que evolucionan”. Twitter está mejorando constantemente su aparato de seguridad con nuevas herramientas, dijo, y citó programas recientes relacionados con la privacidad que han reforzado las protecciones de los usuarios, incluida la capacitación de nuevos empleados.

Confirmó que la supervisión de las cuentas de usuario de Twitter incluye a 1.500 empleados y contratistas a tiempo completo, pero dijo que “no tenemos indicios de que los socios con los que trabajamos en el servicio al cliente y la gestión de cuentas hayan tenido un rol aquí”, en referencia a la reciente violación de cuentas de Twitter.

Los empleados y los contratistas solo tienen acceso a las herramientas que necesitan para hacer su trabajo, que incluye permisos para ejecutar restablecimientos de contraseña en las cuentas, dijo la vocera. El acceso también viene con “una amplia capacitación en seguridad y supervisión administrativa”, dijo.

Dorsey, en referencia al ataque reciente, dijo a los inversores esta semana que la compañía “se quedó atrás, tanto en nuestras protecciones contra la ingeniería social de nuestros empleados como en las restricciones en nuestras herramientas internas”.

Este relato se basa en entrevistas con cuatro ex empleados de seguridad de Twitter, además de más de media docena de personas cercanas a la compañía.

Según los antiguos empleados de seguridad, la gerencia de Twitter a menudo se ha demorado en las actualizaciones de los controles de seguridad de la información, al tiempo que prioriza productos y características de consumo, una fuente de tensión para muchas empresas.

Los esfuerzos para dirigir mejor el personal de apoyo al usuario y los contratistas de Twitter también se han disminuido, lo cual ha resultado en un espacio de trabajo donde demasiadas personas tienen acceso a demasiadas herramientas poderosas, dijeron los exempleados. Incluso con algunos sistemas de seguimiento básicos, los contratistas han encontrado soluciones para explorar detalles sobre antiguos amantes, políticos, marcas favoritas y celebridades, agregaron.

Las preocupaciones sobre la capacidad de Twitter para proteger los datos de los usuarios se profundizaron este mes, después de que ciberdelincuentes secuestraran las cuentas de algunos de sus usuarios más famosos.
Las preocupaciones sobre la capacidad de Twitter para proteger los datos de los usuarios se profundizaron este mes, después de que ciberdelincuentes secuestraran las cuentas de algunos de sus usuarios más famosos.

En el ataque del 15 de julio, 130 cuentas se vieron comprometidas –incluidas las de Barack Obama, Joe Biden, Jeff Bezos y Elon Musk–, y los datos de ocho de esas cuentas fueron robados, dijo Twitter sin identificar las cuentas. Se enviaron tuits desde las cuentas secuestradas prometiendo que los seguidores que enviaran bitcoins a una dirección específica recibirían el doble de reembolso, o su apoyo contribuiría a los esfuerzos de alivio de la pandemia.

Twitter reconoció que varios de sus empleados fueron blanco de una campaña maliciosa para adquirir credenciales para su sistema, “solo disponible para nuestro equipo de soporte interno”, según un comunicado del 17 de julio.

Un oscuro colectivo de piratería que se dedica a comprar y vender nombres de usuario cortos e inteligentes de Twitter e Instagram ha afirmado haber estado involucrado en el ataque, que está siendo investigado por el FBI.

Las preocupaciones sobre el acceso interno a las cuentas de Twitter fueron llevadas a la junta directiva de Twitter casi anualmente durante el período de 2015 a 2019, solo para diferirse por otras prioridades, incluidos otros programas de seguridad cibernética, según dos de los ex funcionarios de seguridad. Esas presentaciones no siempre se vieron como una amenaza urgente para la seguridad de Twitter o la privacidad de sus usuarios, según cuatro personas familiarizadas con las presentaciones de la junta.

Los programas de seguridad, como apuntalar el sistema que alberga los archivos de respaldo de Twitter o mejorar la supervisión del sistema utilizado para monitorear la actividad de los contratistas, a veces, fueron archivados en favor de productos de ingeniería diseñados para aumentar los ingresos, según dos de los ex empleados.

Algunos de los contratistas de Twitter que se volvieron expertos en espiar las cuentas de Beyoncé y otras celebridades fueron empleados por Cognizant Technology Solutions Corp. en hasta media docena de ubicaciones, dijeron los dos exempleados.

Cognizant, que continúa trabajando con Twitter, declinó hacer comentarios. Un representante de Beyoncé no respondió de inmediato a una solicitud de comentarios. Twitter declinó responder preguntas sobre el acceso a la cuenta de Beyoncé. A través de una vocera de la compañía, la junta directiva de Twitter declinó hacer comentarios.

El escudriño a las cuentas no se consideró una preocupación importante de seguridad entre los ejecutivos de Twitter, a pesar de que la dependencia de la compañía de contratistas para manejar las funciones de soporte administrativo ha crecido en la última media década, según dos de los ex miembros del equipo de seguridad de Twitter.

En agosto de 2019, la cuenta de Dorsey fue hackeada (Foto: Twitter)
En agosto de 2019, la cuenta de Dorsey fue hackeada (Foto: Twitter)

El espionaje de cuentas sucedió con tanta frecuencia que los miembros del equipo de seguridad a tiempo completo de Twitter en Estados Unidos tenía dificultades para realizar seguimiento a las intrusiones, según los dos ex empleados. Mientras que algunos de los contratistas fueron atrapados y despedidos, otros comenzaron a usar el sistema de registro formal y crearon solicitudes fraudulentas que afirmaban que algo andaba mal con una cuenta de usuario, solo para tomar esa queja y reanudar su intrusión, según los empleados.

“Muy pocas empresas entienden cuán vulnerables son sus operaciones a medida que se expanden fuera de su sede”, asegura Paul Ortiz, consultor de seguridad de la cadena de suministro. “Este riesgo aumenta exponencialmente si se introducen en la ecuación los trabajadores por contrato de terceros”.

El ataque de la semana pasada fue el último de una serie de vergonzosas violaciones de seguridad en Twitter en los últimos años, algunas de ellas relacionadas con el acceso interno a las cuentas. En noviembre de 2017, la cuenta del presidente de EE.UU., Donald Trump, fue eliminada temporalmente como un acto de rebelión de un empleado de atención al cliente en su último día en la empresa.

En agosto de 2019, la cuenta de Dorsey fue hackeada y utilizada para publicar mensajes antisemitas. Twitter culpó al operador de telefonía móvil de Dorsey. El año pasado, el Departamento de Justicia de EE.UU. acusó a un par de exempleados de Twitter por supuestamente espiar para Arabia Saudita y abusar de su acceso para recopilar datos privados de críticos sauditas prominentes.

La intrusión a Twitter destaca una falla de seguridad común entre las nuevas empresas de alto vuelo y las compañías tecnológicas más jóvenes, según Patrick Westerhaus, ex investigador de ciber y criptomonedas del FBI.“El problema que vemos una y otra vez con las compañías de tecnología que están hipercentradas en el crecimiento y los ingresos es un marco inmaduro y una falta general de preocupación por la seguridad, el riesgo de terceros y los controles antifraude”, dijo Westerhaus, director ejecutivo de Cyber Team Six, una empresa de seguridad.

Por Jordan Robertson, Kartikay Mehrotra y Kurt Wagner (©2020 Bloomberg L.P).

MÁS SOBRE ESTE TEMA:

Guardar