Cómo hackearon Twitter con ingeniería social

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Introducción a la Ciberseguridad

Comprende y actúa frente amenazas cibernéticas

Buenas prácticas de Ciberseguridad

Ciberseguridad en Empresas

Prevención de riesgos

26
Cómo proteger datos personales y empresariales
00:39 min

Tomar examen

Cómo hackearon Twitter con ingeniería social

Resumen

La ingeniería social es el conjunto de técnicas de manipulación psicológica que usan los atacantes para persuadir a una persona y obtener un beneficio, como acceder a cuentas privilegiadas o robar dinero. Entender cómo opera te sirve si trabajas en tecnología, manejas datos sensibles o quieres blindar tu vida digital.

Lo interesante es que no necesita exploits sofisticados ni vulnerabilidades de software. Le basta con habilidades sociales bien aplicadas y un poco de investigación previa.

¿Qué es la ingeniería social en ciberseguridad?

Es el uso de manipulación psicológica para que una persona entregue información, credenciales o accesos que de otra forma no compartiría. El atacante no rompe un sistema: convence a alguien de abrirle la puerta.

¿Qué es la ingeniería social? Es una técnica de hackeo que explota la confianza humana en lugar de fallas técnicas. El atacante se hace pasar por alguien legítimo para que la víctima entregue datos o accesos.

Y aquí viene lo interesante: incluso empresas con perfiles muy técnicos caen. El caso más famoso lo protagonizó Twitter en 2020.

¿Cómo hackearon a Twitter en 2020?

En julio de 2020, un grupo de atacantes comprometió al menos 130 cuentas de alto perfil dentro de Twitter, entre ellas la cuenta oficial de Elon Musk, la de Apple y la de Bitcoin. El incidente terminó con tres arrestos y movió alrededor de 110.000 dólares en transacciones de Bitcoin.

La estafa fue directa. Desde esas cuentas verificadas publicaron que, si los seguidores enviaban cierta cantidad de bitcoins a una dirección, recibirían el doble de vuelta. Cuando ves ese mensaje desde la cuenta oficial de Bitcoin, la probabilidad de caer es altísima. Eso es manipulación social aplicada a escala.

¿Cómo accedieron al panel interno de Twitter?

Los atacantes llegaron al panel de control y administración de cuentas, una herramienta interna que solo usan empleados y que permite restaurar contraseñas, bloquear o banear cuentas. Con ese acceso, restauraron las cuentas de alto perfil y publicaron desde ellas.

Jack Dorsey, cofundador de Twitter, reconoció el incidente públicamente y la cuenta de soporte de la plataforma confirmó que estaban investigando lo ocurrido.

¿Qué pasos siguieron los atacantes paso a paso?

La parte que más vale la pena estudiar es el método. No fue improvisado: hubo investigación, selección de víctimas y ejecución coordinada.

Investigación en LinkedIn. Los atacantes mapearon a los empleados de Twitter usando perfiles públicos.
Extracción de datos privados. Aprovecharon herramientas para reclutadores de LinkedIn, que exponen números telefónicos y correos electrónicos que normalmente no serían públicos.
Selección de objetivos. Filtraron empleados con acceso al panel de administración, con poco tiempo en la empresa o trabajando de forma remota, algo común en plena pandemia de 2020.
Llamadas dirigidas. Con los datos en mano, llamaron a los empleados haciéndose pasar por el equipo de TI.
Configuración de una VPN falsa. Convencieron a las víctimas de instalar una nueva VPN que redirigía a una página de phishing que imitaba el portal interno.
Captura de credenciales y segundo factor. La página falsa pedía usuario, contraseña y el código del segundo factor de autenticación. Mientras el empleado los escribía, los atacantes los introducían en tiempo real en la página oficial.

Ese último punto es clave. El segundo factor de autenticación no falló por sí mismo: lo derrotaron sincronizando el ataque en vivo, lo que se conoce como phishing en tiempo real.

¿Por qué falló el segundo factor de autenticación en Twitter? Porque los atacantes capturaban el código en una página falsa y lo reusaban en la página real antes de que expirara. El 2FA por código sigue siendo vulnerable al phishing sincronizado.

¿Cómo protegerte de un ataque de ingeniería social?

La defensa empieza por ti, no por el software. Si entiendes cómo piensan los atacantes, es mucho más difícil que te tomen por sorpresa.

Capacítate de forma constante en ciberseguridad y en las nuevas técnicas de ataque que aparecen cada año.
Adopta un enfoque zero trust: no confíes por defecto en ningún correo, llamada o enlace, aunque parezca venir de tu equipo interno.
Verifica siempre la identidad de quien te pide configurar VPNs, instalar software o entregar credenciales, usando un canal distinto al que te contactó.

Un dato importante: los atacantes priorizaron empleados nuevos y remotos justamente porque tienen menos contexto para detectar una llamada sospechosa del falso equipo de TI. Si entras a una empresa, esa es tu zona de mayor riesgo.

Cuéntame en los comentarios si en tu empresa han vivido un intento de ingeniería social y cómo lo detectaron.

Comentarios

Jovanny Delgado

Estudiante

Ingeniería Social: Manipulando la mente humana para obtener información

¿Qué es la ingeniería social?

La ingeniería social es una técnica de manipulación psicológica que los ciberdelincuentes utilizan para engañar a las personas y obtener información confidencial. En lugar de explotar vulnerabilidades técnicas en sistemas informáticos, se aprovechan de las debilidades humanas, como la confianza, la curiosidad o la urgencia.

¿Cómo funciona?

Los atacantes utilizan diferentes métodos para manipular a sus víctimas:

Phishing: Envían correos electrónicos falsos que parecen provenir de entidades legítimas (bancos, empresas, etc.) para que las víctimas revelen datos personales o hagan clic en enlaces maliciosos.
Vishing: Realizan llamadas telefónicas falsas haciéndose pasar por representantes de instituciones confiables para obtener información confidencial.
Pretexting: Crean escenarios ficticios o historias convincentes para obtener información de las víctimas.
Baiting: Ofrecen recompensas o incentivos para que las víctimas realicen acciones que comprometan su seguridad.
Quid pro quo: Ofrecen favores o servicios a cambio de información confidencial.
Tailgating: Obtienen acceso físico a lugares restringidos siguiendo a otras personas autorizadas.

¿Cuáles son los objetivos de la ingeniería social?

Obtener información confidencial: Contraseñas, números de tarjetas de crédito, datos personales, etc.
Obtener acceso a sistemas informáticos: Introducir malware, robar datos o tomar el control de equipos.
Realizar transacciones fraudulentas: Realizar compras no autorizadas o transferir fondos.
Dañar la reputación de una organización: Difundir información falsa o comprometedora.

¿Cómo protegerse de la ingeniería social?

Ser escéptico: No confíes en comunicaciones no solicitadas, incluso si parecen legítimas.
Verifica la identidad del remitente: Asegúrate de que los correos electrónicos y las llamadas provengan de fuentes confiables.
No reveles información personal por teléfono o correo electrónico: Evita compartir contraseñas, números de tarjetas de crédito u otra información sensible.
Mantén actualizado tu software: Instala parches de seguridad para proteger tus dispositivos.
Educa a tus empleados: Si trabajas en una empresa, asegúrate de que tus empleados estén conscientes de los riesgos de la ingeniería social.

En resumen, la ingeniería social es una amenaza constante que requiere una vigilancia constante. Al ser conscientes de las tácticas utilizadas por los atacantes y tomando medidas preventivas, podemos protegernos y proteger a nuestras organizaciones de estos ataques.

Jose Ricardo Dueñas Suarez

Estudiante

gracias

Luis Rogelio Reyes Hernandez

Estudiante

En mi empresa tuvimos un ataque de Phishing en el que varios empleados recibimos un email haciéndose pasar por el CEO de la empresa.

En el cual pedían una tarea sencilla que no solicitaba ninguna información por lo cual solo puedo imaginar que aquellos que cayeran eventualmente se les extraeria la informacion eventualmente.

Yo me di cuenta e informe a mis compañeros de trabajo de esto, ya que el correo el nombre de que lo enviaba era el mismo del CEO en la vista previa del correo, el correo de quien lo envió era un grupo de caracteres sin sentido.

Federico Martinez

Estudiante

Los hackers que atacaron a Twitter utilizaron técnicas de ingeniería social para engañar a empleados y obtener acceso a sus credenciales. A través de manipulación psicológica, lograron persuadir a las personas para que proporcionaran información sensible, lo que les permitió acceder a cuentas administrativas y realizar acciones maliciosas. Este caso resalta la importancia de la seguridad en la protección contra amenazas cibernéticas, donde la educación y la conciencia sobre ingeniería social son cruciales.

Luis Fernando Martinez Contreras

Estudiante

En 2022 también se presento un tema de vulnerabilidad en la empresa. bloquearon el directorio activo, y causo traumatismo en la continuidad del negocio. como se tenia un plan de contingencia, se pudo solventar, pero si causo ralentizar la operación.

Germán José Jiménez Doria

Estudiante

La secretaria de planeación de mi municipio sufrió un caso de fisching, tomaron el email institucional y empezaron a enviar a los contactos

Hector Wing-Sen León Caro

Estudiante

El phishing es el método mas usado en mi lugar de trabajo para intentar hackearlo, ya sea a través de correos electrónicos, mensajes, etc. Lo que me he dado cuenta es que usan mucho la urgencia, es decir, "tienes que responder en las próximas 24 horas o tu cuenta caducará", como también, usan bastante el falso premio "has ganado una cuenta premium de spotify" o en ciertas ocasiones, "actualiza tus datos de pago". En todas las anteriores llevan a webs falsas que simulaban las originales pero con deficiencias que podían engañarte, pero si le dedicabas unos minutos, podías darte cuenta que eran falsas.

Daniel Alfredo García Serna

Estudiante

📚 CLASE: Hackeo de Twitter 2020 — Ingeniería social

━━━━━━━━━━━━━━━━━━

🎯 IDEA PRINCIPAL

El hackeo de Twitter en 2020 demostró algo crítico:

Las empresas más grandes del mundo también pueden ser comprometidas mediante manipulación humana.

Los atacantes no “hackearon Twitter” rompiendo infraestructura compleja.

Hackearon personas.

La idea clave:

La ingeniería social puede ser más poderosa que los ataques técnicos avanzados.

━━━━━━━━━━━━━━━━━━

⚡ RESUMEN ULTRA RÁPIDO

• El ataque comprometió cuentas verificadas de alto perfil.

• Los atacantes manipularon empleados internos.

• El acceso interno fue más peligroso que el ataque externo.

• La confianza excesiva y permisos amplios facilitaron el incidente.

• La seguridad humana es tan importante como la tecnológica.

━━━━━━━━━━━━━━━━━━

🔑 LO VERDADERAMENTE IMPORTANTE

• El ataque comenzó con ingeniería social.

Los atacantes engañaron empleados para obtener acceso interno.

No necesitaron vulnerar sistemas extremadamente sofisticados.

• Los accesos internos son extremadamente sensibles.

Una vez dentro:

• pudieron controlar cuentas importantes • publicar mensajes fraudulentos • acceder a herramientas administrativas

• El exceso de privilegios aumentó el impacto.

Muchos sistemas internos tenían más acceso del necesario.

Problema común en empresas:

• demasiados permisos • accesos poco segmentados • controles insuficientes

• Las herramientas internas pueden ser más peligrosas que los sistemas externos.

Si un atacante compromete paneles administrativos:

• el daño escala rápidamente • la propagación es más sencilla • el impacto reputacional explota

• La confianza humana fue el punto débil real.

Los atacantes explotaron:

• confianza • urgencia • comunicación falsa • manipulación psicológica

━━━━━━━━━━━━━━━━━━

🧠 CONCEPTOS QUE DEBO ENTENDER

• Ingeniería social

Manipulación psicológica para obtener acceso o información.

• Privilegios administrativos

Permisos avanzados sobre sistemas críticos.

• Acceso interno

Capacidad de operar herramientas o sistemas corporativos desde dentro.

• Superficie de ataque humana

Riesgos relacionados con comportamiento y decisiones de personas.

• Segmentación de accesos

Separar permisos para limitar daños potenciales.

• Verificación de identidad

Confirmar que quien solicita acceso realmente es quien dice ser.

━━━━━━━━━━━━━━━━━━

🧩 MODELO MENTAL

Atacante → manipula empleado → obtiene acceso interno → escala privilegios → controla sistemas críticos → genera impacto masivo

Modelo defensivo moderno:

Validación estricta → mínimos privilegios → monitoreo continuo → segmentación → detección temprana

Mentalidad profesional:

“El acceso interno también debe tratarse como riesgo.”

━━━━━━━━━━━━━━━━━━

🚀 ACCIONES INMEDIATAS

✅ Reduce privilegios innecesarios.

Pregunta:

“¿Esta persona realmente necesita este acceso?”

✅ Implementa MFA en herramientas internas.

No solo en sistemas públicos.

✅ Verifica solicitudes sensibles por múltiples canales.

Especialmente si implican:

• accesos • cambios críticos • credenciales • información sensible

✅ Monitorea actividades administrativas.

Ejemplos:

• accesos inusuales • acciones masivas • horarios extraños

✅ Capacita equipos contra ingeniería social.

Los ataques psicológicos evolucionan constantemente.

✅ Segmenta herramientas internas críticas.

No todo empleado debe acceder a todo.

━━━━━━━━━━━━━━━━━━

💼 APLICACIÓN PROFESIONAL

En empresas:

• control de accesos internos • gestión de identidades • seguridad operacional • reducción de riesgos humanos

En desarrollo:

• diseño seguro de paneles administrativos • auditoría de acciones críticas • registros de actividad • permisos granulares

En liderazgo:

• protocolos de verificación • cultura preventiva • entrenamiento continuo

En cloud e infraestructura:

• IAM seguro • privilegios temporales • monitoreo de cuentas sensibles

Ventaja profesional real:

Entender riesgos internos te convierte en alguien capaz de diseñar sistemas mucho más resilientes.

━━━━━━━━━━━━━━━━━━

🔥 HACKS Y RECOMENDACIONES REALES

• Los atacantes buscan primero el camino más fácil: las personas.

• Los accesos administrativos deben ser mínimos y monitoreados.

• Nunca confíes únicamente en mensajes internos.

Verifica siempre.

• Las herramientas internas críticas deben tener múltiples controles.

• Menos privilegios = menor impacto potencial.

• El monitoreo administrativo continuo es obligatorio en empresas serias.

• La ingeniería social funciona porque explota comportamiento humano normal.

━━━━━━━━━━━━━━━━━━

🧠 INSIGHT ESTRATÉGICO

Principiantes:

creen que los ataques grandes requieren hacking extremadamente técnico.

Profesionales:

entienden que muchas brechas enormes comienzan con manipulación humana simple.

La diferencia real está en construir sistemas donde:

• los accesos sean limitados

• las acciones críticas sean auditadas

• la identidad se valide constantemente

• ningún usuario tenga poder excesivo

El caso Twitter mostró que una sola debilidad humana puede afectar plataformas globales.

━━━━━━━━━━━━━━━━━━

📝 REFLEXIÓN FINAL

El hackeo de Twitter 2020 dejó una lección poderosa:

La seguridad no se rompe solamente por fallos técnicos.

También se rompe por confianza mal gestionada.

Las organizaciones modernas necesitan proteger:

• sistemas

• accesos

• privilegios

• personas

• procesos internos

La ingeniería social seguirá funcionando mientras las empresas subestimen el factor humano.

Maria Janeth Rodas

Estudiante

Claro Colombia ha sido víctima de ataques de ciberseguridad. En un incidente en 2022, sus servicios se vieron interrumpidos por un ataque cibernético, y en febrero de 2024 se confirmó que fueron víctimas de un ataque de ransomware, que afectó a sus sistemas y llevó a la interrupción de algunos de sus servicios.

Cesar Fabian Lancheros Currea

Estudiante

En un simulacro de la empresa donde trabajaba, lanzaron un Phishing y varios empleados cayeron

Victoria Cabarique

Estudiante

Uno de los empleados tuvo su perfil de Meta comprometido. Dicho perfil estaba vinculado al Business Manager utilizado para la gestión publicitaria, lo que permitió a los atacantes acceder a la cuenta y pautar durante varias horas una suma considerable de dinero en anuncios con ofertas engañosas dirigidas al usuario final.

Myriam Rocio Romero Segura

Estudiante

Se presentó un caso de una persona que rondaba por el centro comercial donde se encuentran las oficinas administrativas de la compañía ofreciendo ciertos beneficios económicos si se ingresaba a cierta página. La persona parecía un promotor de servicios de la compañía. Varias personas cayeron en esa trampa, pero afortunadamente la compañía no sufrió ningún ataque. Algunos colaboradores se percataron del engaño y se notificó a las áreas de seguridad incluyendo seguridad informática.

Remberto Herrera López

Estudiante

Un control importante respecto a ingeniería social consiste en hacer pruebas por especialistas a todos los empleados de la compañía para comprobar que no proporciones su información de inicio de sesión a través de links que se envían por correo electrónico.

jose david Buitrago Cano

Estudiante

En la empresa donde trabajo pasó que enviaron un correo interno con phishing pidiendo credenciales para loguearse dentro de la red interna, se alcanzaron a filtrar intrusos, pero el monitoreo fue efectivo en donde pudieron aislar los servidores que fueron atacados y las personas que llenaron la información fueron capacitadas.

victor jimenez

Estudiante

Es importante tener una buena base de ingeniería social para poder cuidarse del mundo de los hackear

Marco Castillo B.

Estudiante

En una empresa para la que yo hice un trabajo de ciberseguridad, un colaborador por querer instalar un software pirata para diseño y renderización, le cayó un falso antivirus, esta persona creía que ese falso antivirus era un antimalware real y pensaba que estaba protegido, a pesar de que sí tenía una solución real de antimalware, en esta ocasión los cibercriminales se aprovecharon de gente que quiere obtener un buen programa crackeado, sin pagar licencia. Ese falso antivirus pudo haber estado robando información o pudo estar a punto de encriptar la información al estilo ramsomware. Todo esto pasa porque hay gente que se deja llevar por falsas paginas web que los manipulan psicológicamente diciéndoles que suversión de tal programa no tiene ningún problema y que lo descarguen libremente. En fin, el inconveniente fue solucionado.

Introducción a la Ciberseguridad

Ataques reais que expõem falhas básicas

Qué es la ciberseguridad y la triada CIA

Ransomware real: el ataque que paralizó un aeropuerto

Cómo el hackeo a Target explica Zero Trust

Cómo crear cultura de ciberseguridad en tu empresa

Comprende y actúa frente amenazas cibernéticas