Me enteré que el pasado 16 de Julio, la red social Twitter había sido hackeada para realizar una estafa con la cyber moneda bitcoin. Básicamente los atacantes consiguieron de alguna forma emitir tuits desde cuentas muy conocidas e importantes, de las «verificadas por Twitter: Jeff Bezos, Bill Gates, Elon Musk, Obama, Warren Buffet, Apple, Binance, Ripple… La estafa era burda pero efectiva por el alcance de esas cuentas; ni más ni menos que el clásico «timo de la estampita» aunque modernizado en versión «si me envías dinero en bitcoins te devuelvo el doble, para apoyar la lucha contra la Covid-19».
Como las transacciones de bitcoins son públicas, puede verse el el libro de registro que en las primeras 24 horas la cuenta que perpetró la estafa recibió 383 transacciones de bitcoins por valor de 13 bitcoins (unos 103.000 euros).Twitter confirmó al poco que el ataque utilizó ingeniería social contra algunos de los empleados para acceder a sistemas internos.
Todavía hay muchas incógnitas: ¿Pudieron los atacantes acceder a más información personal de las cuentas, como los números de teléfono o los mensajes directos? ¿Por qué no usaron otras cuentas de famosos para hacer más masiva la estafa? ¿Los atacantes eran profesionales organizados o meros aficionados?.
Con este acto de hackeo, aprovecho para repasar algunas cuestiones de cyber seguridad básicas de utilidad para empresas, sobre todo de aquellas que no tengan un departamento de IT que brinde capacitaciones y charlas a personal no técnico de la estructura empresarial.
Muchos de estos actos mal intencionados de intromisión en sistemas informáticos, comienzan por el punto mas débil de la cadena que es el factor humano. El hacker muchas veces en lugar de utilizar sus habilidades tecnológicas, utiliza habilidades sociales para extraer información valiosa sobre la seguridad informática de una empresa, entablando un diálogo con empleados u operarios de la misma. Muchas veces prefieren hacerlo por medio del soporte telefónico o en linea de las empresas de manera de mantener el anonimato. Estas técnicas se conocen como ingeniería social y suelen ser mucho mas efectivas que el conocimiento mismo de la tecnología.
De esta manera el atacante obtiene información sobre la estructura de la red de datos de la empresa, los sistemas de software que utiliza y sus vulnerabilidades,muchas veces obteniendo incluso contraseñas de acceso a sistemas internos.
Por medio de Pixiacom recomiendo a las empresas algunos tips para mejorar o implementar seguridad básica de información en una empresa.
- Capacitar al personal
- El uso de contraseñas fuertes y su correcto almacenamiento
- El correcto uso de dispositivos de almacenamiento portátiles
- Implementar planes de contingencia (copias de seguridad, redundancia de equipamiento crítico)
- Implementar seguridad en la red informática y servidores (firewall por hardware y por software)
- Implementar sistemas de registro de actividad
- Auditar la seguridad del sitio web de la empresa
Respecto al último punto, los sitios webs de las empresas suelen ser otro punto débil al cual en muchos casos no se le presta la adecuada atención. Los sitios webs al ser sistemas públicos están expuestos a hackers y a millones de autómatas que recorren internet en búsqueda de fallas conocidas en los sitios webs que permitan la intromisión de personas no autorizadas. Muchos sitios webs tienen algún tipo de interacción con redes y sistemas privados de empresas, por lo que son de gran interés para personas malintencionadas.