El 15 de julio Twitter sufrió el ciberataque más sonado de su historia, que permitió a actores maliciosos hacerse con el control de cuentas de usuarios de alto perfil, como Barack Obama, Bill Gates, Elon Musk, Kanye West y Jeff Bezos, con la finalidad de promover un engaño masivo que consistía en una estafa con criptomonedas.
Los atacantes engañaron a numerosas personas para que introdujeran en su cartera de bitcoin cierta cantidad de dinero, diciendo que doblarían esa cantidad. Durante el tiempo que estuvo activa la estafa (aproximadamente 5 horas), se registraron más de 370 transacciones, y se estima que la cifra recaudada alcanza los más de 118.000 dólares en bitcoins.
Lo sorprendente en este caso no se trata exclusivamente de la cantidad recaudada por los actores maliciosos, sino que éstos han conseguido acceder a las cuentas de dichos usuarios a través del compromiso de una cuenta de un empleado de Twitter, lo que les otorgó el acceso a sistemas y herramientas internos de la compañía.
Según las declaraciones oficiales de Twitter, los atacantes habrían comprometido una de las cuentas de sus empleados mediante un ataque coordinado de ingeniería social. Por el momento, no se conoce qué técnica emplearon exactamente los atacantes para conseguir las cuentas de los empleados. Algunas fuentes apuntan a que se trata de un caso de SIM jacking, otras que se trata de un soborno, o que el propio empleado pudiera haber formado parte del ataque.
Si bien hasta que no se produzca una investigación detallada del incidente no se podrá descubrir si él o los empleados implicados eran conscientes de su participación en el ataque, se ha puesto en relevancia una vez más el riesgo para las empresas de los denominados “insiders”, o empleados o personal con acceso a la red corporativa.
En el informe “Verizon Data Breach Investigations” del año 2020, queda reflejado cómo en los últimos años, más del 20% de las brechas de seguridad en las compañías se han debido a un ataque interno.
Las compañías están concienciadas con los riesgos existentes en los servicios online, pero no tanto de los de un atacante interno. Muchas empresas no contemplan estas amenazas, ya que consideran que no es posible que les ocurra algo así, que están bien protegidos, pero el mayor error es considerar que el insider puede ser únicamente un empleado descontento, o extorsionado. La realidad es que el atacante interno puede ser personal con diferentes niveles de acceso, y el ataque puede ser producto de un error o exceso de confianza.
¿Cuáles son las amenazas accidentales más comunes que pueden llevar a un ataque interno?
Ataques de phishing: los ciberdelincuentes envían correos fraudulentos o spam a los empleados de una compañía para que accedan a un sitio web específico o descarguen un archivo malicioso. Así, podrían hacerse con el control de un equipo o conseguir las credenciales y cuentas de correo de la víctima.
Empleo de contraseñas débiles y reutilización de contraseñas: los atacantes pueden utilizar ataques de fuerza bruta o credenciales obtenidas a través de un ataque previo de phishing, para acceder a otras cuentas de la víctima. Es muy común que los usuarios reutilicen las contraseñas para varias cuentas, lo que facilita la acción a los atacantes.
Errores: como el mal manejo de datos, el envío de información confidencial a personas que no se debería enviar, o guardarla en carpetas compartidas.
En cuanto las amenazas de insiders maliciosos, el abuso de privilegios es la más común. Es decir, cuando un empleado utiliza sus privilegios de acceso a la compañía o a ciertos servicios para la obtención de cierta información confidencial o para la realización de acciones para las cuales no está autorizado. Generalmente, estos insiders están motivados económicamente, y pueden llegar a vender la información sustraída, recibir un pago por la realización de una acción o incluso a chantajear a la empresa.