Hackeo de Twitter 2020: Ingeniería social paso a paso

Clase 6 de 26 • Curso de Ciberseguridad y Privacidad para Empresas

Contenido del curso

Introducción a la Ciberseguridad

Comprende y actúa frente amenazas cibernéticas

Buenas prácticas de Ciberseguridad

Ciberseguridad en Empresas

Prevención de riesgos

26
Ciberseguridad: Amenazas y Protección de Datos
00:39 min

Tomar examen

Resumen

Manipular personas resulta, en muchos casos, más efectivo que vulnerar sistemas tecnológicos. Eso quedó demostrado en 2020 cuando un grupo de hackers comprometió más de ciento treinta cuentas de alto perfil en Twitter, incluyendo las de Elon Musk, Apple y Bitcoin, utilizando únicamente técnicas de persuasión y engaño dirigidas a empleados de la compañía. Este caso es un ejemplo perfecto de lo que significa la ingeniería social y de por qué incluso profesionales técnicos pueden caer en este tipo de ataques.

¿Qué es la ingeniería social y por qué es tan efectiva?

La ingeniería social se refiere al uso de técnicas de manipulación psicológica para persuadir a una persona y obtener un beneficio de ella. No se trata de explotar una vulnerabilidad en el código o en un servidor, sino de explotar habilidades sociales para engañar a seres humanos [0:04].

En el caso de Twitter, los atacantes no necesitaron romper firewalls ni encontrar errores de software. Bastó con convencer a los empleados adecuados para obtener acceso al panel de control y administración de cuentas, una herramienta interna que permite restaurar contraseñas, bloquear o banear cuentas permanentemente [2:18]. El resultado fue devastador: ciento diez mil dólares en transacciones fraudulentas de Bitcoin y al menos tres arrestos vinculados al incidente [0:56].

La estafa funcionó así: las cuentas comprometidas publicaron tuits prometiendo que si un usuario enviaba cierta cantidad de bitcoins a una dirección específica, recibiría el doble de vuelta. Al provenir de cuentas verificadas y reconocidas, muchas personas cayeron en el engaño [1:18].

¿Cómo lograron los hackers comprometer a empleados de Twitter?

El proceso de ataque siguió una cadena metódica de pasos que demuestra lo sofisticada que puede ser la ingeniería social cuando se planifica con cuidado.

¿Cómo investigaron a las víctimas?

Paso 1: los ciberdelincuentes investigaron a los empleados de Twitter a través de LinkedIn [3:16].
Paso 2: utilizaron herramientas de LinkedIn diseñadas para reclutadores, las cuales permiten acceder a números telefónicos y correos electrónicos que normalmente son privados para el público general [3:26].
Paso 3: realizaron una selección de empleados basada en criterios estratégicos: que tuvieran acceso al sistema de control de cuentas, que llevaran poco tiempo en la empresa o que trabajaran de modo remoto. El contexto de 2020 y la pandemia de covid jugó a favor de los atacantes, ya que muchos empleados trabajaban desde casa [3:44].

¿Qué técnica usaron para robar las credenciales?

Paso 4: llamaron a los empleados seleccionados usando la información recopilada, haciéndose pasar por el equipo de TI de Twitter [4:14].
Paso 5: convencieron a los empleados de configurar una nueva VPN. Esta VPN redirigía el tráfico a una página de phishing, es decir, una página falsa que simulaba ser el portal real de empleados [4:30].

Cuando los empleados introducían sus credenciales en esta página falsa, los atacantes las capturaban en tiempo real. Pero había un obstáculo adicional: el segundo factor de autenticación (2FA). La página de phishing también lo solicitaba, y en cuanto el empleado lo introducía, los hackers lo utilizaban inmediatamente en el portal legítimo, logrando así acceso completo al sistema de administración [4:56].

El propio cofundador de Twitter, Jack Dorsey, reconoció públicamente el incidente afirmando que todos se sentían terribles por lo sucedido [2:48].

¿Cómo protegerte ante ataques de ingeniería social?

La primera línea de defensa es la conciencia: saber que estos ataques existen y entender cómo funcionan ya reduce significativamente el riesgo [5:30]. Además, es fundamental capacitarse de forma constante sobre las nuevas técnicas de ciberseguridad que surgen continuamente.

Otro principio clave es adoptar un enfoque de zero trust, que significa no confiar en nada ni en nadie por defecto [5:48]. Este modelo parte de la premisa de que cualquier solicitud, llamada o mensaje debe ser verificado antes de actuar, sin importar quién parezca ser el remitente.

Si alguna vez has presenciado o vivido un ataque de ingeniería social en tu entorno laboral, comparte tu experiencia en los comentarios. Aprender de casos reales es una de las mejores formas de fortalecer la seguridad colectiva.

Comentarios

Jovanny Delgado

student•

Ingeniería Social: Manipulando la mente humana para obtener información

¿Qué es la ingeniería social?

La ingeniería social es una técnica de manipulación psicológica que los ciberdelincuentes utilizan para engañar a las personas y obtener información confidencial. En lugar de explotar vulnerabilidades técnicas en sistemas informáticos, se aprovechan de las debilidades humanas, como la confianza, la curiosidad o la urgencia.

¿Cómo funciona?

Los atacantes utilizan diferentes métodos para manipular a sus víctimas:

Phishing: Envían correos electrónicos falsos que parecen provenir de entidades legítimas (bancos, empresas, etc.) para que las víctimas revelen datos personales o hagan clic en enlaces maliciosos.
Vishing: Realizan llamadas telefónicas falsas haciéndose pasar por representantes de instituciones confiables para obtener información confidencial.
Pretexting: Crean escenarios ficticios o historias convincentes para obtener información de las víctimas.
Baiting: Ofrecen recompensas o incentivos para que las víctimas realicen acciones que comprometan su seguridad.
Quid pro quo: Ofrecen favores o servicios a cambio de información confidencial.
Tailgating: Obtienen acceso físico a lugares restringidos siguiendo a otras personas autorizadas.

¿Cuáles son los objetivos de la ingeniería social?

Obtener información confidencial: Contraseñas, números de tarjetas de crédito, datos personales, etc.
Obtener acceso a sistemas informáticos: Introducir malware, robar datos o tomar el control de equipos.
Realizar transacciones fraudulentas: Realizar compras no autorizadas o transferir fondos.
Dañar la reputación de una organización: Difundir información falsa o comprometedora.

¿Cómo protegerse de la ingeniería social?

Ser escéptico: No confíes en comunicaciones no solicitadas, incluso si parecen legítimas.
Verifica la identidad del remitente: Asegúrate de que los correos electrónicos y las llamadas provengan de fuentes confiables.
No reveles información personal por teléfono o correo electrónico: Evita compartir contraseñas, números de tarjetas de crédito u otra información sensible.
Mantén actualizado tu software: Instala parches de seguridad para proteger tus dispositivos.
Educa a tus empleados: Si trabajas en una empresa, asegúrate de que tus empleados estén conscientes de los riesgos de la ingeniería social.

En resumen, la ingeniería social es una amenaza constante que requiere una vigilancia constante. Al ser conscientes de las tácticas utilizadas por los atacantes y tomando medidas preventivas, podemos protegernos y proteger a nuestras organizaciones de estos ataques.

Jose Ricardo Dueñas Suarez

student•

gracias

Luis Rogelio Reyes Hernandez

student•

En mi empresa tuvimos un ataque de Phishing en el que varios empleados recibimos un email haciéndose pasar por el CEO de la empresa.

En el cual pedían una tarea sencilla que no solicitaba ninguna información por lo cual solo puedo imaginar que aquellos que cayeran eventualmente se les extraeria la informacion eventualmente.

Yo me di cuenta e informe a mis compañeros de trabajo de esto, ya que el correo el nombre de que lo enviaba era el mismo del CEO en la vista previa del correo, el correo de quien lo envió era un grupo de caracteres sin sentido.

Federico Martinez

student•

Los hackers que atacaron a Twitter utilizaron técnicas de ingeniería social para engañar a empleados y obtener acceso a sus credenciales. A través de manipulación psicológica, lograron persuadir a las personas para que proporcionaran información sensible, lo que les permitió acceder a cuentas administrativas y realizar acciones maliciosas. Este caso resalta la importancia de la seguridad en la protección contra amenazas cibernéticas, donde la educación y la conciencia sobre ingeniería social son cruciales.

Luis Fernando Martinez Contreras

student•

En 2022 también se presento un tema de vulnerabilidad en la empresa. bloquearon el directorio activo, y causo traumatismo en la continuidad del negocio. como se tenia un plan de contingencia, se pudo solventar, pero si causo ralentizar la operación.

Germán José Jiménez Doria

student•

La secretaria de planeación de mi municipio sufrió un caso de fisching, tomaron el email institucional y empezaron a enviar a los contactos

Hector Wing-Sen León Caro

student•

El phishing es el método mas usado en mi lugar de trabajo para intentar hackearlo, ya sea a través de correos electrónicos, mensajes, etc. Lo que me he dado cuenta es que usan mucho la urgencia, es decir, "tienes que responder en las próximas 24 horas o tu cuenta caducará", como también, usan bastante el falso premio "has ganado una cuenta premium de spotify" o en ciertas ocasiones, "actualiza tus datos de pago". En todas las anteriores llevan a webs falsas que simulaban las originales pero con deficiencias que podían engañarte, pero si le dedicabas unos minutos, podías darte cuenta que eran falsas.

Maria Janeth Rodas

student•

Claro Colombia ha sido víctima de ataques de ciberseguridad. En un incidente en 2022, sus servicios se vieron interrumpidos por un ataque cibernético, y en febrero de 2024 se confirmó que fueron víctimas de un ataque de ransomware, que afectó a sus sistemas y llevó a la interrupción de algunos de sus servicios.

Cesar Fabian Lancheros Currea

student•

En un simulacro de la empresa donde trabajaba, lanzaron un Phishing y varios empleados cayeron

Victoria Cabarique

student•

Uno de los empleados tuvo su perfil de Meta comprometido. Dicho perfil estaba vinculado al Business Manager utilizado para la gestión publicitaria, lo que permitió a los atacantes acceder a la cuenta y pautar durante varias horas una suma considerable de dinero en anuncios con ofertas engañosas dirigidas al usuario final.

Myriam Rocio Romero Segura

student•

Se presentó un caso de una persona que rondaba por el centro comercial donde se encuentran las oficinas administrativas de la compañía ofreciendo ciertos beneficios económicos si se ingresaba a cierta página. La persona parecía un promotor de servicios de la compañía. Varias personas cayeron en esa trampa, pero afortunadamente la compañía no sufrió ningún ataque. Algunos colaboradores se percataron del engaño y se notificó a las áreas de seguridad incluyendo seguridad informática.

Remberto Herrera López

student•

Un control importante respecto a ingeniería social consiste en hacer pruebas por especialistas a todos los empleados de la compañía para comprobar que no proporciones su información de inicio de sesión a través de links que se envían por correo electrónico.

jose david Buitrago Cano

student•

En la empresa donde trabajo pasó que enviaron un correo interno con phishing pidiendo credenciales para loguearse dentro de la red interna, se alcanzaron a filtrar intrusos, pero el monitoreo fue efectivo en donde pudieron aislar los servidores que fueron atacados y las personas que llenaron la información fueron capacitadas.

victor jimenez

student•

Es importante tener una buena base de ingeniería social para poder cuidarse del mundo de los hackear

Marco Castillo B.

student•

En una empresa para la que yo hice un trabajo de ciberseguridad, un colaborador por querer instalar un software pirata para diseño y renderización, le cayó un falso antivirus, esta persona creía que ese falso antivirus era un antimalware real y pensaba que estaba protegido, a pesar de que sí tenía una solución real de antimalware, en esta ocasión los cibercriminales se aprovecharon de gente que quiere obtener un buen programa crackeado, sin pagar licencia. Ese falso antivirus pudo haber estado robando información o pudo estar a punto de encriptar la información al estilo ramsomware. Todo esto pasa porque hay gente que se deja llevar por falsas paginas web que los manipulan psicológicamente diciéndoles que suversión de tal programa no tiene ningún problema y que lo descarguen libremente. En fin, el inconveniente fue solucionado.

Hackeo de Twitter 2020: Ingeniería social paso a paso

Introducción a la Ciberseguridad

Ciberseguridad: Protege tus Datos y Empresa de Ataques Cibernéticos

Fundamentos de Ciberseguridad: Protección de Datos y Continuidad Empresarial

Prevención de Ataques de Ransomware en Organizaciones

Enfoque Cero Trust en Ciberseguridad: Protección sin Confianza Automática

Conciencia en Ciberseguridad: Prevención y Cultura Organizacional

Comprende y actúa frente amenazas cibernéticas