El viernes por la tarde, los 4,2 millones de seguidores de Jack Dorsey en Twitter tuvieron una sorpresa desagradable. Un grupo de vándalos había obtenido acceso a la cuenta, y usó ese acceso para lanzar una corriente de mensajes ofensivos y enchufes para el canal de discordia de su grupo. En 15 minutos, la cuenta volvió a estar bajo control y el grupo fue excluido de Discord, pero el incidente fue un recordatorio de las vulnerabilidades graves incluso en las cuentas de más alto perfil, y cuán insegura se ha vuelto la autenticación basada en el teléfono.
Los piratas informáticos entraron a través del servicio de texto a tweet de Twitter, operado por el servicio adquirido Cloudhopper. Usando Cloudhopper, los usuarios de Twitter pueden publicar tweets por mensajes de texto a un número de código corto, generalmente 40404. Es un truco útil para SimplePhones o si simplemente no tiene acceso a la aplicación de Twitter. El sistema solo requiere vincular su número de teléfono a su cuenta de Twitter, lo que la mayoría de los usuarios ya hacen por razones de seguridad separadas. Como resultado, el control de su número de teléfono suele ser suficiente para publicar tweets en su cuenta, y la mayoría de los usuarios no tienen idea.
Resulta que obtener el control del número de teléfono de Dorsey no fue tan difícil como parece. De acuerdo a una declaración de Twitter, una "supervisión de seguridad" por parte del proveedor permitió que los piratas informáticos obtuvieran el control. En términos generales, este tipo de ataque se llama piratería de SIM, esencialmente convencer a un operador de que asigne el número de Dorsey a un nuevo teléfono que controlaron. No es una técnica nueva, aunque se usa con más frecuencia para robar Bitcoin o identificadores de Instagram de alto valor. A menudo, es tan simple como conectar una contraseña filtrada. Puede protegerse agregando un código PIN a su cuenta de operador o registrando cuentas web como Twitter a través de números de teléfono ficticios, pero esas técnicas pueden ser demasiado para el usuario promedio. Como resultado, el intercambio de SIM se ha convertido en una de las técnicas favoritas de los alborotadores en línea, y como descubrimos hoy, funciona con más frecuencia de lo que piensas.
Chuckling Squad, el equipo que se hizo cargo de la cuenta de Dorsey, ha estado jugando este truco durante años. Sus ataques más destacados hasta este momento han sido una serie de personas influyentes en línea con hasta diez figuras diferentes que fueron atacadas antes de Dorsey. Parecen tener un truco particular con AT&T, que también es el operador de Dorsey, aunque no está claro exactamente cómo obtuvieron el control. (AT&T no respondió a una solicitud de comentarios).
La historia de este tipo de pirateo es mucho más antigua que Chuckling Squad o incluso SIM Swapping. Cualquier sistema que facilite que un usuario twittee también facilitará que un hacker tome el control de la cuenta. En 2016, Dorsey fue blanco de un ataque similar que aprovechó los complementos de terceros autorizados, que a menudo se han abandonado pero aún conservan el permiso para enviar tweets a la cuenta. Esa técnica se ha vuelto menos prominente a medida que las técnicas de intercambio de SIM se han vuelto más ampliamente entendidas, pero los objetivos básicos del vandalismo no han cambiado.
Aún así, el incidente es vergonzoso para Twitter, y no simplemente por la lucha inmediata para recuperar el control de la cuenta del CEO. El mundo de la seguridad ha sabido sobre los ataques de intercambio de SIM durante años, y la cuenta de Dorsey había sido destrozada antes. La simple falla en asegurar el control de la cuenta del CEO es una falla significativa para la compañía, con implicaciones que van más allá de unos pocos minutos de caos. Con suerte, Twitter aprenderá del incidente y priorizará una seguridad más fuerte, tal vez incluso alejando la verificación de Twitter de los SMS, pero dado el historial de la compañía, dudo que muchas personas contengan la respiración.
