Twitter suspende el ‘Tweeting vía SMS’ después de que su CEO fuera hackeado

Twitter Hackeado
Estándar

Twitter finalmente decidió suspender una función, llamada ‘Tweeting via SMS‘, luego de que un grupo de ciberdelincuentes abusó de ella para comprometer al CEO de Twitter Jack Dorsey la semana pasada y envió una serie de tweets racistas y ofensivos a los seguidores de Dorsey.

La cuenta de Twitter de Dorsey se vio comprometida la semana pasada cuando un grupo de hackers que se hacía llamar “Chuckling Squad” clonó un número de teléfono móvil asociado con la cuenta del CEO y abusó de esta característica en particular para publicar mensajes racistas, ofensivos y amenazas de bombas por SMS.

Hay que recordar que Jack Dorsey no ha sido la única victima de este tipo de ataques, la cuenta de la actriz Chloë Grace Moretz, fue usada para el envió de tweets sugiriendo que los mismos hackers estaban detrás de este secuestro de cuenta también.

Ambos secuestros de cuenta fueron posibles debido a vulnerabilidades que afectan la capacidad de enviar tweets por SMS. La compañía reaccionó después del compromiso de la cuenta de Dorsey diciendo que estaba investigando el incidente.

Un día después, Twitter concluyó que el hack se produjo debido a una adecuada supervisión de seguridad por parte del operador de telefonía móvil, lo que permitió que un tercero no autorizado tuiteara utilizando el servicio de mensajes de texto. Simplificado, los atacantes clonaron el número de teléfono del usuario de Twitter.

La clonación de un número de teléfono móvil asociado con otra persona es una técnica conocida como “intercambio de SIM“, donde los atacantes usando técnicas de ingeniería social en contra de la compañía de telefonía móvil de la víctima, la engañan para que transfiera el número de teléfono de la tarjeta SIM de la victima a su propia tarjeta SIM.

Una vez que aplicaron estas técnicas de ingeniería social a un empleado de AT&T y obtuvieron acceso al número de teléfono de Dorsey, los piratas informáticos de Chuckling Squad usaron la función ‘Tweeting via SMS’ para publicar tweets con el nombre de usuario de Jack Dorsey, incluso sin iniciar sesión en su cuenta.

Para aquellos que no lo sabian, Twitter tiene una función que brinda a sus usuarios la posibilidad de publicar un tweet desde su cuenta simplemente enviando un mensaje SMS al número de la compañía desde su número móvil registrado asociado con su cuenta de Twitter.

Esta característica fue una de las formas más populares de usar Twitter en sus primeros días, cuando la mayoría de las personas dependía de teléfonos sin conexión a Internet, especialmente cuando en algunos países el gobierno impone bloqueos de Internet para sofocar las protestas y revoluciones. Y es de aquí de dónde viene la limitación a los 140 caracteres que inicialmente tenía Tweeter.

Sin embargo, la función aún existe y se ha usado varias veces en el pasado, ya que no se requiere autenticación más que solo tener acceso al número de teléfono vinculado a una cuenta de Tweeter.

En una serie de tweets publicados ayer por la tarde, Twitter dice que ha deshabilitado temporalmente esta función y está trabajando para mejorarla explorando opciones para ofrecer una forma autenticada.

Sin embargo, la compañía no ha proporcionado ningún cronograma de la reactivación de esta función.