A la classe de mon fill hi ha dos pares empleats de La Caixa. L’un treballa a finestreta —ara n’hi torna a haver— i l’altre n’és director d’oficina. Tots dos ho saben tot de mi. Amb un parell de clics saben el meu sou, si m’he endarrerit en el pagament de l’hipoteca, quan gasto cada mes en benzina, si estic subscrit a YouPorn i quan m’arriba el repartidor d’Amazon a casa. Quan ens veiem la sensació d’asimetria informacional és de vertigen.
Dimecres de la setmana passada els perfils de Twitter diverses entitats relacionades amb Bitcoin i els de diverses personalitats van ser segrestats per furoners durant hores. De manera coordinada, usuaris de perfil molt alt com Barack Obama, Joe Biden, Elon Musk, Jeff Bezos, Bill Gates, Warren Buffet, Michael Bloomberg, Kayne West i Apple van tuitar un missatge on anunciaven que doblarien cada bitcoin que rebessin i en farien donació en el marc de la suposada campanya “CryptoForHealth”.
El tuit en qüestió portava l’enllaç a un moneder de Bitcoin on s’hi podia fer la donació. Sí, ja sé que sona estrany, que demanar diners per internet és de P3 de furoner, però aquesta vegada qui demanava diners no era un príncep nigerià sinó que qui ho feia eren els reis d’internet, que també ho son del món físic, i no ho feien per recuperar una fortuna sinó per a retornar a la societat una petita part del que els havia dat. Qui va fer l’atac tenia un màster en enginyeria social. El resultat el teniu a la vista: el moneder en qüestió registra 394 transaccions per un import total de 12.87137416 BTC, 105.505,25 al canvi del 23 de juliol.
"Demanar diners per internet és de P3 de furoner, però aquesta vegada qui demanava diners eren els reis d’internet i no ho feien per recuperar una fortuna sinó per a retornar a la societat una petita part del que els havia dat"
I dic enginyeria social perquè és la raó que en va donar Twitter en un tuit i perquè els furoners saben bé que la baula més feble en seguretat sempre són les persones. Si mai heu contractat o cancel·lat via telèfon un servei amb algun proveïdor —llum, aigua, gas o telefonia— haureu observat com de fàcil és fer-ho (sobretot contractar serveis addicionals). Normalment la verificació de la identitat es fa amb quatre preguntes bàsiques: nom i cognoms, DNI, correu electrònic, adreça i poca cosa més. No hi ha cap doble autenticació, ni cap verificació biomètrica (penso en un enregistrament de veu previ). Res.
Aquesta vulnerabilitat és la que exploten els furoners quan es volen apropiar d’un número de telèfon. Els furoners parteixen de dades personals obtingudes d’estraperlo procedents de hackejos anteriors. Quan sentim a parlar d’una fuita de dades de la PlayStation Network, de Tumblr, de YouPorn o les de qualsevol altre servei ens quedem tranquils quan ens diuen que no s’han compromès les targetes de crèdit. En realitat el que té valor és poder lligar un nom i cognoms a un número de mòbil (el que fem servir per a l’autenticació de doble factor) i a una data de naixement. Amb aquestes dades els furoners poden convèncer un operador telefònic que som en un país estranger, que ens han robat el mòbil i que necessitem que ens transfereixin el número de la targeta SIM antiga a la del nou telèfon que ens hem hagut de comprar: “siusplau, siusplau que he d’operar amb el banc per poder tornar a casa”. Arribats a aquest punt, ens quedem sense senyal al mòbil i totes les trucades i SMS van al mòbil del segrestador, inclosos els de l’autenticació en dos passos.
__relacionada__
Descartat que aquest mètode s’hagués utilitzat amb èxit amb els comptes mencionats (en són massa i de massa alt perfil) en el cas del darrer hackeig a Twitter hi ha tres possibilitats, totes prou inquietants: 1) uns furoners subornen un empleat de Twitter amb capacitat de publicar contingut a qualsevol perfil (!); 2) els furoners subornen a algú de la companyia de telefonia del treballador perquè els faci un canvi de SIM; i 3) els furoners es fan passar pel treballador i aconsegueixen un canvi de SIM.
Diria que la primera la podríem descartar, el preu de suborn d’un treballador de Twitter seria infinitament més alt que els 105.505,25 que ha recollit l’estafa. Un enginyer guanya de 120 a 190.000 USD l’any i els becaris cobren 44 USD / hora (no feu la multiplicació).
Els números em porten a pensar que va ser 2) o 3), totes dues aterradores. Primer per la debilitat del sistema. La major part dels serveis que fem servir, inclosos alguns bancs, basen la seva seguretat en la combinació de correu electrònic i SMS. Aquests hackejos i altres —l’any passat al mateix president de Twitter Jack Dorsey— fan pensar que més que una protecció, aquesta combinació és un forat de seguretat. Segon perquè posa de manifest que a Twitter existeix el “Mode Déu”, és a dir, que hi ha treballadors que poden tuitar en el nostre nom i veure els nostres missatges privats. Els fets així ho provarien com també ho provarien les captures de pantalla de les eines d’administració internes de Twitter que els furoners van publicar.
"Twitter té una presència desproporcionada als mitjans de comunicació i una capacitat d’influir en el debat públic sense precedents"
105.505,25 euros estafats són la xocolata del lloro si pensem què hauria pogut passar. Sabem, perquè ho hem vist, que un tuit desafortunat d’una gran marca pot fer-li perdre milions a borsa, que un tuit desafortunat pot destruir-te la carrera o portar-te a l’Audiència Nacional. Sabent que un dels comptes segrestats va ser el de Barack Obama és inevitable pensar que hauria passat si haguessin segrestat el de Donald Trump. Sabem, perquè ho hem vist també, que un tuit de Trump contra una empresa li fa caure la cotització, que si l’atac és contra algú amb nom i cognoms és assetjat digital i física i ha de canviar de domicili, i que Trump ha utilitzat Twitter per amenaçar Corea del Nord amb un atac nuclear. Potser no hauria de ser així, però és així.
Twitter té una presència desproporcionada als mitjans de comunicació i una capacitat d’influir en el debat públic sense precedents. La té perquè nosaltres de manera subjectiva l’hi donem tal com ho fem amb els diners o amb els bancs. Una pèrdua de confiança o un canvi en l’apreciació subjectiva de la robustesa d’un banc pot portar a un pànic que el pot tombar en un no res. En això Twitter i en general les xarxes socials també s’assemblen als bancs, en això i en què qualsevol treballador pot saber-ho tot de nosaltres, inclosos missatges privats. Pànic és poc.