El ser humano siempre es el eslabón más débil.– Kevin MitnickHacker/cracker/phreaker y experto en ciberseguridad

Ayer nos enteramos de que Twitter había sido crackeado (que es más apropiado que hackeado) para cometer una estafa a gran escala. Básicamente los atacantes consiguieron de alguna forma emitir tuits desde cuentas muy conocidas e importantes, de las «verificadas por Twitter: Jeff Bezos, Bill Gates, Elon Musk, Obama, Warren Buffet, Apple, Binance, Ripple… La estafa era burda pero efectiva por el alcance de esas cuentas; ni más ni menos que el clásico «timo de la estampita» aunque modernizado en versión «si me envías dinero en bitcoins te devuelvo el doble, para apoyar la lucha contra la Covid-19».

Quien mejor lo ha resumido y tiene bastantes pistas acerca de cómo se hizo es el siempre informado y recomendable Brian Krebs: Who’s Behind Wednesday’s Epic Twitter Hack?. El resumen rápido:

La «instrusión» y los mensajes se enviaron a las 21.00 (GMT), el primero desde la cuenta de Binance, un sitio de criptodivisas. Luego se concentraron en unas 130 cuentas, de las que sólo pudieron enviar mensajes con algunas.
Como las transacciones de bitcoins son públicas, puede verse el el libro de registro que en las primeras 24 horas la cuenta que perpetró la estafa recibió 383 transacciones de bitcoins por valor de 13 bitcoins (unos 103.000 euros).
Twitter confirmó al poco que el ataque utilizó ingeniería social contra algunos de los empleados para acceder a sistemas internos.

En el artículo hay muchos más detalles sobre los posibles …