En la clase de mi hijo hay dos padres empleados de La Caixa. Uno trabaja en ventanilla —ahora vuelve a haber— y el otro es director de oficina. Los dos lo saben todo de mí. Con un par de clics saben mi sueldo, si me he atrasado en el pago de la hipoteca, cuanto gasto cada mes en gasolina, si estoy subscrito a YouPorn y cuando me llega el repartidor de Amazon a casa. Cuando nos vemos la sensación de asimetría informacional es de vértigo.
Miércoles de la semana pasada los perfiles de Twitter varias entidades relacionadas con Bitcoin y los de varias personalidades fueron secuestrados por hackers durante horas. De manera coordinada, usuarios de perfil muy alto como Barack Obama, Joe Biden, Elon Musk, Jeff Bezos, Bill Gates, Warren Buffet, Michael Bloomberg, Kayne West y Apple tuitaron un mensaje donde anunciaban que doblarían cada bitcoin que recibieran y harían donación en el marco de la supuesta campaña "CryptoForHealth".
El tuit en cuestión hacía enlace a un monedero de Bitcoin donde se podía hacer la donación. Sí, ya sé que suena extraño, que pedir dinero por internet es de P3 de hacker, pero esta vez quien pedía dinero no era un príncipe nigeriano sino que quién lo hacía eran los reyes de internet, que también lo son del mundo físico, y no lo hacían para recuperar una fortuna sino para devolver a la sociedad una pequeña parte del que los había dado. Quién hizo el ataque tenía un máster en ingeniería social. El resultado lo tenéis a la vista: el monedero en cuestión registra 394 transacciones por un importe total de 12.87137416 BTC, 105.505,25 al cambio del 23 de julio.
"Pedir dinero por internet es de P3 de hacker, pero esta vez quien pedía dinero eran los reyes de internet y no lo hacían para recuperar una fortuna sino para devolver a la sociedad una pequeña parte de lo que los había dado"
Y digo ingeniería social porque es la razón que dio Twitter en un tuit y porque los hackers saben bien que el eslabón más débil en seguridad siempre son las personas. Si nunca habéis contratado o cancelado vía teléfono un servicio con algún proveedor —luz, agua, gas o telefonía— habréis observado como de fácil es hacerlo (sobre todo contratar servicios adicionales). Normalmente la verificación de la identidad se hace con cuatro preguntas básicas: nombre y apellidos, DNI, correo electrónico, dirección y poca cosa más. No hay ninguna doble autenticación, ni ninguna verificación biométrica (pienso en una grabación de voz previo). Nada.
Esta vulnerabilidad es la que explotan los hackers cuando se quieren apropiar de un número de teléfono. Los hackers parten de datos personales obtenidos de estraperlo procedentes de hackeos anteriores. Cuando oímos hablar de un escape de datos de la PlayStation Network, de Tumblr, de YouPorn o las de cualquiera otro servicio nos quedamos tranquilos cuando nos dicen que no se han comprometido las tarjetas de crédito. En realidad lo que tiene valor es poder ligar un nombre y apellidos a un número de móvil (lo que usamos para la autenticación de doble factor) y a una fecha de nacimiento. Con estos datos los hackers pueden convencer un operador telefónico que estamos en un país extranjero, que nos han robado el móvil y que necesitamos que nos transfieran el número de la tarjeta SIM antigua a la del nuevo teléfono que nos hemos tenido que comprar: "porfavor, porfavor que tengo que operar con el banco para poder volver a casa". Llegados a este punto, nos quedamos sin señal en el móvil y todas las llamadas y SMS van al móvil del secuestrador, incluidos los de la autenticación en dos pasos.
Descartado que este método se hubiera utilizado con éxito con las cuentas mencionados ( son demasiadas y de demasiado alto perfil) en el caso del último hackeo a Twitter hay tres posibilidades, todas bastante inquietantes: 1) unos hackers sobornan un empleado de Twitter con capacidad de publicar contenido en cualquier perfil (!); 2) los hackers sobornan a alguien de la compañía de telefonía del trabajador para que les haga un cambio de SIM; y 3) los hackers se hacen pasar por el trabajador y consiguen un cambio de SIM.
Diría que la primera la podríamos descartar, el precio de soborno de un trabajador de Twitter sería infinitamente más alto que los 105.505,25 que ha recogido la estafa. Un ingeniero gana de 120 a 190.000 USD al año y los becarios cobran 44 USD / hora (no hagáis la multiplicación).
Los números me llevan a pensar que fue 2) o 3), las dos aterradores. Primero por la debilidad del sistema. La mayor parte de los servicios que usamos, incluidos algunos bancos, basan su seguridad en la combinación de correo electrónico y SMS. Estos hackeos y otros —el año pasado al mismo presidente de Twitter Jack Dorsey— hacen pensar que más que una protección, esta combinación es un agujero de seguridad. Segundo porque pone de manifiesto que en Twitter existe el "Modo Dios", es decir, que hay trabajadores que pueden tuitar en nuestro nombre y ver nuestros mensajes privados. Hechos así lo probarían como también lo probarían las capturas de pantalla de las herramientas de administración internas de Twitter que los hackers publicaron.
"Twitter tiene una presencia desproporcionada en los medios de comunicación y una capacidad de influir en el debate público sin precedentes"
105.505,25 euros estafados son el chocolate del loro si pensamos qué habría podido pasar. Sabemos, por lo hemos visto, que un tuit desafortunado de una gran marca puede hacerle perder millones en bolsa, que un tuit desafortunado puede destruirte la carrera o llevarla a la Audiencia Nacional. Sabiendo que una de las cuentas secuestrar fue la de Barack Obama es inevitable pensar que habría pasado si hubieran secuestrado la de Donald Trump. Sabemos, porque lo hemos visto también, que un tuit de Trump contra una empresa le hace caer la cotización, que si el ataque es contra alguien con nombre y apellidos es asediado digital y física y tiene que cambiar de domicilio, y que Trump ha utilizado Twitter para amenazar Corea del Norte con un ataque nuclear. Quizás no tendría que ser así, pero es así.
Twitter tiene una presencia desproporcionada en los medios de comunicación y una capacidad de influir en el debate público sin precedentes. La tiene porque nosotros de manera subjetiva se la damos tal como lo hacemos con el dinero o con los bancos. Una pérdida de confianza o un cambio en la apreciación subjetiva de la robustez de un banco puede traer a un pánico que lo puede tumbar en nada. En esto Twitter y en general las redes sociales también se asemejan a los bancos, en esto y en que cualquier trabajador puede saberlo todo de nosotros, incluidos mensajes privados. Pánico es poco.