El ataque de Twitter
El 15 de julio se dio a conocer la noticia, que posteriormente fue confirmada por Twitter, de que las cuentas de los miembros más influyentes de Twitter, entre ellos el expresidente estadounidense Barack Obama, Bill Gates, Joe Biden y otros, habían sido comprometidas.
Un grupo de hackers utilizó el acceso y la publicidad sin precedentes para un propósito aparentemente poco sofisticado: una estafa con bitcoins. Más preocupante aún podría ser que los mensajes directos de estos usuarios de Twitter pudieran haber sido accesibles para los «hackers», ya que informa Wired .
Foto de archivo sobre ciberseguridad
Por eso pongo deliberadamente «hackers» entre comillas. Numerosos propietarios de cuentas afectadas afirmaron que tenían activada la protección de autenticación multifactorial para sus cuentas y Twitter confirmó que sospecha que se produjo un ataque de ingeniería social contra algunos empleados de Twitter con acceso privilegiado a la infraestructura de Twitter. En cuanto los periodistas escriben sobre «hackers», inmediatamente pensamos en genios tecnológicos socialmente torpes que utilizan su dominio superior de la programación para hacer el mal, vestidos con sudaderas con capucha en habitaciones poco iluminadas. Esto también lleva a la idea preconcebida de que la ciberseguridad debe centrarse en disponer de una tecnología aún mejor para defenderse, invocando la imagen mental típica de un centro de mando con una pared de vídeos y los «buenos» defendiendo los ciberataques en tiempo real.
En 2020, ambos clichés de las fotos de archivo no podrían estar más lejos de la realidad. El ataque real probablemente fue obra de un equipo de personas altamente cualificadas y con un alto coeficiente emocional que convenció a los empleados de Twitter para que realizaran alguna acción que les diera a los atacantes un acceso significativo.
La ciberseguridad en 2020
Los detalles sobre el hackeo de Twitter aún se están desarrollando, pero según lo que sabemos hasta ahora, este incidente es la tormenta perfecta de la superficie de amenazas cibernéticas en 2020. Me explico:
Amenazas cambiantes
Podría decirse que 2020 ha provocado el mayor cambio en la superficie de amenaza en el menor tiempo desde los albores de la informática. Al verse todos obligados a trabajar a distancia, todos los paradigmas anteriores de la seguridad tradicional, como el perímetro, se derrumbaron en cuestión de días o semanas. La comunicación humana también cambió al mismo tiempo. Si los ingenieros de Twitter que fueron objeto del ataque hubieran estado sentados en sus oficinas alrededor de una mesa, ¿se habría cuestionado la solicitud de los atacantes o se habría discutido de manera informal con un colega?
La tecnología cibernética es un producto básico.
La implementación de medidas tecnológicas para la seguridad es un servicio básico en 2020. En mi época universitaria, aprendimos a realizar el cifrado RSA en papel. Luego, en mis inicios en el ámbito cibernético, una medida de control clave era asegurarse de que el certificado estuviera actualizado para permitir conexiones https seguras. Hoy en día, simplemente se aprovecha un servicio para ocuparse de todo eso. Yo diría que las medidas de seguridad técnicas de Alyne están a la altura o superan a las de las empresas de la lista Fortune 500, porque la tecnología de ciberseguridad es un producto básico. Como se ha mencionado, muchas cuentas de Twitter afectadas confirmaron que tenían habilitada la autenticación multifactorial, una de las medidas tecnológicas más eficaces para proteger tu cuenta de Twitter. Con una seguridad técnica sólida, los atacantes deben buscar el eslabón más débil para explotar fuera de la tecnología.
Las joyas de la corona reubicadas
Como profesionales cibernéticos, nos han enseñado a pensar en las joyas de la corona. El proceso de pensamiento dicta que nunca se puede proteger todo, por lo que hay que encontrar las joyas de la corona y asegurarse de dedicar toda la energía a protegerlas. Tesla no publica anuncios y su único canal de comunicación con el público es Twitter. Hace solo unos años, el departamento de marketing interno habría definido la integridad de la información pública de la empresa frente al mercado como sus joyas de la corona, celosamente guardadas tras comunicados de prensa y un equipo de relaciones públicas. En 2020, solo Elon y su cuenta de Twitter requieren supervisión por parte de la SEC.
El eslabón más débil
Con un entorno rápidamente virtualizado, joyas de la corona desplazadas y una postura de seguridad técnica generalmente sólida, el eslabón más débil sigue siendo las personas. Si se junta todo esto, un ataque coordinado de ingeniería social en Twitter es un paso perfectamente lógico para un atacante que busca obtener beneficios económicos (o al menos eso es lo que parece hasta ahora; no descartaría la posibilidad de que haya un gobierno hostil involucrado en este momento). Las personas son las que unen todas las medidas de seguridad técnica y las personas son las que pueden romper esa cadena.
¿Cómo podemos mejorar nuestra postura cibernética en 2020?
Concienciación
Esto no es nuevo, y tampoco va a desaparecer. Mantener a las personas informadas, alerta y vigilantes no es una tarea puntual, sino que debe ser continua. El trabajo virtualizado añade una nueva dimensión a esto. ¿A través de qué canales llegamos a las personas ahora? ¿Cómo se consigue la atención de las personas que disfrutan trabajando desde casa porque «ya no se distraen» con todas esas «cosas molestas» como la concienciación sobre la ciberseguridad? ¿Cómo se compensa la falta de comunicación interpersonal informal en el lugar de trabajo que puede ayudar a mantener activo el «rumor» en torno a la ciberseguridad?
Participación
Una de las cosas que nos apasiona en Alyne es involucrar a las personas en el proceso de seguridad. Redactar una política de seguridad y aplicarla desde arriba no genera sentido de pertenencia, responsabilidad ni aceptación entre el público general de su organización. Si la interacción con los temas cibernéticos no es colaborativa y conversacional, su equipo no adoptará sus esfuerzos en su trabajo diario. Defendemos con pasión un Sistema de Gestión de Seguridad de la Información (SGSI) que permita a las personas comunicarse, charlar, revisar, actualizar y cambiar continuamente, en lugar de limitarse a marcar casillas cada trimestre. Si Twitter tuviera una plataforma de este tipo, ¿habrían pensado los empleados comprometidos en el SGSI antes de conceder el acceso? ¿Habrían comprobado dos veces las normas vigentes o habrían hecho una pregunta rápida para confirmarlo?
Gestión
Los escépticos dirán que una mayor gestión nunca ha resuelto nada, pero escúchenme. La dirección ya no puede delegar la ciberseguridad. No puede confiar en que su «experto en ciberseguridad» se encargue de ello ni caer en el cliché de las fotos de archivo de una sala llena de pantallas que «defienden» su empresa. La ciberseguridad debe estar en la agenda de todos los miembros de la dirección, quienes deben defender activamente esta prioridad en la organización. Sigue siendo una de las medidas más eficaces para aumentar la concienciación y fomentar una cultura colaborativa para abordar la ciberseguridad.
Estoy seguro de que pronto sabremos más sobre los antecedentes del ataque a Twitter de julio de 2020. Estén atentos a este espacio para obtener más análisis y comentarios sobre los acontecimientos.
