Domain Mayday EP03: El hackeo de cuentas de Bitcoin en Twitter en 2020
El 15 de julio de 2020, unos atacantes se introdujeron por teléfono en Twitter, secuestraron las cuentas verificadas de Obama, Biden, Musk, Gates, Apple y Uber, y ejecutaron una estafa de duplicación de Bitcoin que les reportó unos 118.000 dólares. Un análisis en profundidad de cómo se robó el control de una identidad en línea y qué nos enseña sobre ser dueño de un nombre.
- domains
- security
- dns
- domain-security
Durante unas pocas horas en una tarde de miércoles, las voces más confiables de internet comenzaron a decir todas lo mismo: envíame Bitcoin y te devolveré el doble.
Lo dijo Barack Obama. Lo dijo Joe Biden. Lo dijo Elon Musk. Bill Gates, Jeff Bezos, Kanye West, Apple, Uber — las cuentas con verificación de identidad y marca de verificación azul en las que cientos de millones de personas habían aprendido a confiar — todas publicaron la misma tosca estafa de criptomonedas, casi palabra por palabra. Ninguna de esas personas escribió un solo carácter. Sus cuentas lo hicieron, porque alguien más tenía las llaves.
Este es Domain Mayday EP03. Los dos primeros episodios trataban sobre nombres — quién los posee, quién puede quitarlos. Este trata la misma pregunta con un disfraz diferente. Un nombre de usuario en Twitter, una insignia verificada, un nombre de dominio: cada uno es una afirmación de identidad que el resto de nosotros aceptamos por confianza. Y el 15 de julio de 2020, los atacantes demostraron cuán poco se necesita para apoderarse de esa afirmación — no con malware ni con un exploit de día cero, sino con una llamada telefónica.
La confianza que vive en un nombre de usuario
Una cuenta verificada es un atajo de confianza. Cuando @BarackObama publica algo, no verificas de nuevo que realmente es él; el nombre de usuario más la insignia es la verificación. Ese atajo es enormemente valioso — y enormemente frágil, porque toda la confianza se acumula en la cuenta, mientras que el control de la cuenta puede residir en un lugar completamente diferente.
Es la misma estructura que un nombre de dominio. whitehouse.gov es de confianza no porque cada visitante inspeccione la cadena de certificados, sino porque el nombre en sí conlleva autoridad. Controla ese nombre — en el registrador, en el DNS, en el panel de administración — y heredas toda la confianza que la gente ha depositado en él, al instante, independientemente de si alguna vez fue tuyo.
El hackeo de Twitter de 2020 es la demostración más clara que tenemos de esa brecha entre confianza y control. El regulador financiero de Nueva York, que investigó el caso porque entre las víctimas había empresas de criptomonedas reguladas, lo dijo sin rodeos: el ataque fue "un cuento aleccionador sobre el daño extraordinario que pueden causar incluso cibercriminales poco sofisticados."
15 de julio de 2020: la apropiación
Ocurrió rápido y a plena luz del día. Según la reconstrucción de Wikipedia, "El 15 de julio de 2020, entre las 20:00 y las 22:00 UTC, 130 cuentas de alto perfil de Twitter fueron comprometidas."
El informe del Departamento de Servicios Financieros de Nueva York (DFS) detalla la coreografía. Los atacantes comenzaron primero con criptomonedas: "Los hackers primero manipularon cuentas de Twitter vinculadas a conocidas empresas e individuos del mundo de las criptomonedas," sembrando mensajes directos y tuits que apuntaban a una billetera de Bitcoin. Luego escalaron: "Los hackers elevaron significativamente las apuestas y apuntaron a cuentas verificadas de Twitter con millones de seguidores."
La lista de afectados parecía una lista de invitados de las cuentas más confiables de la plataforma. Wikipedia señala que las "cuentas supuestamente comprometidas incluían las de personas conocidas como Barack Obama, Joe Biden, Bill Gates, Jeff Bezos... y empresas como Apple, Uber y Cash App."
El mensaje era idéntico y absurdamente simple. Desde la cuenta de Apple, tal como lo registró Wikipedia: "Estamos devolviendo algo a nuestra comunidad. Apoyamos Bitcoin y creemos que tú también deberías hacerlo. ¡Todo el Bitcoin enviado a nuestras direcciones te será devuelto duplicado!" La misma oferta, repetida a través de decenas de las bocas más creíbles del mundo al mismo tiempo.
No se utilizaron todas las cuentas. De las 130 afectadas, el regulador encontró que "en total, 130 cuentas de usuario de Twitter fueron comprometidas durante el hackeo de Twitter. De ellas, 45 cuentas se utilizaron para enviar tuits." Cuarenta y cinco altavoces fue más que suficiente.
Lo que se perdió realmente
En términos de dinero, el botín fue pequeño. El informe del DFS indica que "los hackers robaron aproximadamente 118.000 dólares en bitcoin durante el hackeo de Twitter." Wikipedia señala que una sola billetera de la estafa "recibió más de 320 depósitos por un valor superior a 110.000 dólares estadounidenses antes de que se eliminaran los mensajes de la estafa." Para una brecha de esta magnitud, 118.000 dólares resulta casi vergonzosamente modesto.
Pero la cifra en dólares subestima gravemente la pérdida. Lo que en realidad cayó esa tarde fue la integridad del nombre de usuario verificado como señal de confianza. Durante dos horas, una marca de verificación azul no probaba nada. La capa de identidad completa de la plataforma — lo que te permitía creer que un tuit provenía de la persona cuyo nombre aparecía en él — era demostrable y simultáneamente controlable por un adolescente. La respuesta de Twitter fue reveladora: congeló temporalmente la capacidad de muchas cuentas verificadas de publicar tuits. La única manera de impedir que las cuentas de confianza mintieran era silenciarlas.
Ese es el verdadero coste de una apropiación de identidad. El dinero es una nota al pie. El daño es que "esta cuenta = esta persona" deja de ser verdad, y todos los que dependían de esa ecuación quedan expuestos.
Cómo ocurrió: una llamada telefónica y luego un panel de administración
No hubo ningún exploit. El informe del DFS es enfático: "El hackeo de Twitter no involucró ninguna de las técnicas sofisticadas o de alta tecnología que suelen usarse en los ciberataques: ni malware, ni exploits, ni puertas traseras." En cambio, "los hackers usaron técnicas básicas más propias de un estafador tradicional: llamadas telefónicas en las que fingían ser del departamento de Tecnología de la Información de Twitter."
Esto es vishing — phishing por voz. Los atacantes "llamaron a varios empleados de Twitter y afirmaron estar llamando desde el servicio de ayuda del departamento de TI de Twitter," y "afirmaron estar respondiendo a un problema reportado que el empleado tenía con la Red Privada Virtual de Twitter." La propia Twitter lo describió más tarde como un "ataque de phishing telefónico dirigido" que se basó en "un intento significativo y concertado de engañar a ciertos empleados y explotar las vulnerabilidades humanas."
Lo que convenció no fue destreza técnica, sino investigación. Como documentó el periodista de seguridad Brian Krebs, los atacantes se apoyaron en datos de perfil — nombres, roles, detalles personales extraídos de LinkedIn y filtraciones de datos previas — para sonar como colegas reales. Una vez que el empleado creyó al interlocutor, entregó sus credenciales, y las credenciales abrieron la puerta al premio: las herramientas internas de gestión de cuentas de Twitter.
Esa herramienta es el eje de toda la historia. Krebs informó que "dentro de las herramientas de administración de Twitter, aparentemente se puede actualizar la dirección de correo electrónico de cualquier usuario de Twitter" — cambiar el correo electrónico, activar un restablecimiento de contraseña, y la cuenta es tuya, con su insignia y todo. El informe del DFS apunta al fallo estructural que hizo tan catastrófico que un solo empleado fuera comprometido: "Twitter sí limitó el acceso a las herramientas internas, pero más de 1.000 empleados de Twitter todavía tenían acceso a ellas." Más de mil personas poseían una llave maestra de cada identidad en la plataforma, y la empresa no tenía director de seguridad de la información que se ocupara de ello — Twitter "no había tenido un director de seguridad de la información ('CISO') desde diciembre de 2019, siete meses antes del hackeo de Twitter."
También había un mercado debajo de todo esto. Antes de que saliera la estafa con celebridades, el grupo estaba vendiendo nombres de usuario cortos y "OG" robados. Krebs señaló que antes del bombardeo con Obama/Biden/Musk/Gates, "varios nombres de cuentas de Twitter de pocos caracteres muy codiciados cambiaron de manos," porque en esa comunidad "los nombres de perfil de pocos caracteres confieren cierta medida de estatus y riqueza" y "a menudo pueden obtenerse miles de dólares al revenderse." Nombres con valor de escasez, robados y revendidos en un foro — un patrón que cualquier inversor en dominios reconocerá al instante.
Las consecuencias y las detenciones
El desmoronamiento fue casi tan rápido como el hackeo. En menos de dos semanas, los fiscales actuaron. Krebs informó sobre los cargos: "Mason 'Chaewon' Sheppard, un joven de 19 años de Bognor Regis, Reino Unido, también fue acusado en California de conspiración para cometer fraude electrónico, lavado de dinero y acceso no autorizado a un ordenador," y "Nima 'Rolex' Fazeli, un joven de 22 años de Orlando, Florida, fue acusado en una denuncia penal en el Norte de California de complicidad en el acceso intencional a un ordenador protegido."
Pero el presunto cabecilla era aún más joven. "Graham Clark, de 17 años y oriundo de Tampa, Florida, estuvo entre los acusados por el hackeo de Twitter del 15 de julio," y al ser menor de edad fue acusado por el fiscal estatal de Florida en lugar de en un tribunal federal. Fue "acusado de 30 cargos de delito grave, incluidos fraude organizado y fraude en las comunicaciones."
El marzo siguiente, Clark llegó a un acuerdo. CyberScoop informó que "admitió ser el autor de un plan mediante el cual robó más de 117.000 dólares al apoderarse de las cuentas de Twitter de numerosas figuras públicas." La emisora de radio pública WUSF informó de la sentencia: "tres años en un centro juvenil seguidos de tres años de libertad condicional," lo que señaló era "el máximo permitido por la ley de infractores juveniles del estado."
Un cuarto individuo surgió más tarde. Wikipedia registra que "en abril de 2023, Joseph James O'Connor, de 23 años, ciudadano británico con el alias en línea PlugwalkJoe, fue extraditado de España a Nueva York para enfrentar cargos," y posteriormente fue condenado a cinco años de prisión federal.
Lo que esto enseña sobre el control de la identidad en línea
Si dejamos a un lado los nombres de celebridades y las criptomonedas, el hackeo de Twitter de 2020 es una lección pura sobre la diferencia entre tener una identidad y controlar una. De él se desprenden algunos principios:
-
La confianza se acumula en el nombre; el control vive en la trastienda. Cientos de millones de personas confiaban en
@BarackObama. Nada de esa confianza protegió la cuenta, porque la superficie de control de la cuenta era un panel de administración interno al que más de mil empleados podían acceder. Quien controla la trastienda controla la identidad, sin importar qué nombre figure en la fachada. -
El eslabón más débil casi nunca es la criptografía. Sin exploits, sin malware, sin puertas traseras — solo una convincente llamada telefónica. Los sistemas de identidad fallan en la capa humana y de procesos con mucha más frecuencia que en la capa matemática. Una cerradura perfecta en una puerta que cualquier empleado servicial abrirá a petición no es una cerradura.
-
Un único punto de control total es un único punto de fallo total. Una herramienta interna reutilizable que podía cambiar el correo electrónico de cualquier cuenta significaba que un empleado comprometido equivalía a una apropiación de toda la plataforma. El control concentrado, reversible y opaco es la vulnerabilidad.
-
Los nombres escasos son objetivos. El mismo grupo que secuestró las cuentas de presidentes también vendió discretamente nombres de usuario cortos y "OG" por miles de dólares. Los nombres valiosos atraen el robo, y el valor de un nombre es exactamente lo que hace que valga la pena robar su control.
-
La recuperación no debería depender de la misericordia de la plataforma. Cuando las cuentas de confianza comenzaron a mentir, la única palanca de Twitter fue congelarlas. Los propietarios de identidades no tenían forma independiente de demostrar "este soy realmente yo" ni de recuperar el control — dependían completamente de las herramientas internas y la buena voluntad de un operador centralizado.
El enfoque de Namefi
Un nombre de dominio es una identidad en línea con exactamente la misma brecha entre confianza y control que tenían los nombres de usuario verificados de Twitter — y a menudo con el mismo tipo de trastienda opaca. Para la mayoría de los dominios, la "propiedad" vive en una cuenta de registrador, defendida por una contraseña y un equipo de soporte. Una llamada telefónica convincente, un representante de soporte manipulado mediante ingeniería social, un cambio de correo electrónico tramitado a través de un panel interno — el manual del hackeo de Twitter de 2020 se aplica casi punto por punto a la apropiación de una cuenta de registrador. La confianza que el mundo ha depositado en tu dominio no lo protege si el control de ese dominio está detrás de un servicio de ayuda al que se puede convencer de cualquier cosa.
Namefi existe para cerrar esa brecha. La idea central es que el control de un dominio debería ser verificable y estar en manos del propietario, no una configuración en la herramienta de administración de otra persona. Al representar la propiedad de un dominio como un activo tokenizado en la cadena de bloques compatible con DNS, Namefi hace que la pregunta "¿quién controla este nombre?" pueda responderse criptográficamente en lugar de depender del criterio de un agente de soporte bajo presión. No existe un único panel interno al que más de mil empleados puedan acceder para reasignar silenciosamente tu nombre; la prueba de control reside en el propietario, y las transferencias son auditables en lugar de improvisadas.
El hackeo de Twitter de 2020 funcionó porque la identidad y el control habían sido silenciosamente separados — el nombre decía una cosa mientras una herramienta de administración oculta decidía otra. La lección para cualquiera que dependa de un nombre es hacer que el control sea tan legible y tan anclado al propietario como la confianza que lleva el nombre. Un nombre de usuario, una insignia, un dominio: cada uno es tan seguro como la trastienda que lo respalda. La apuesta de Namefi es que esa trastienda debería ser un registro verificable que tú controlas, no una línea telefónica en la que alguien más puede ser engañado para que responda.
Fuentes y lecturas adicionales
- New York Department of Financial Services — Twitter Investigation Report
- Wikipedia — 2020 Twitter account hijacking
- Krebs on Security — Who's Behind Wednesday's Epic Twitter Hack?
- Krebs on Security — Twitter Hacking for Profit and the LoLs
- Krebs on Security — Three Charged in July 15 Twitter Compromise
- CyberScoop — Twitter hacker pleads guilty, sentenced to 3 years
- WUSF — Tampa Twitter Hacker Sentenced To Three Years In Prison, Three Years Probation
- U.S. Department of Justice — Three Individuals Charged for Alleged Roles in Twitter Hack
- ABC News — Florida man who pleaded guilty to hacking Twitter as 17-year-old sentenced to 3 years
Sobre quienes escriben
Guías relacionadas
- El Minuto de $12: Cuando Alguien Compró Google.com en SilencioEn septiembre de 2015, un exempleado de Google compró google.com a través de Google Domains por $12 y tuvo el control administrativo del dominio más valioso del mundo durante aproximadamente un minuto. La historia de Sanmay Ved, la recompensa de $6,006.13 y lo que un minuto de propiedad revela sobre quién controla realmente un dominio.
- Domain Mayday EP05: El secuestro masivo de dominios DeFi en Squarespace en 2024En julio de 2024, una migración de registrador de Google Domains a Squarespace convirtió una autenticación predeterminada débil en una superficie de ataque masiva. Los atacantes secuestraron los dominios de proyectos cripto y DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — y los redirigieron a sitios de phishing que vaciaban carteras. Así es como una migración "sin fricciones" dejó cientos de puertas sin cerrar, y lo que eso nos enseña sobre la seguridad del registrador y el MFA.
- El ataque al front-end de BadgerDAO: $120M drenados a través de un solo script inyectadoEn diciembre de 2021, atacantes comprometieron la cuenta de Cloudflare de BadgerDAO e inyectaron un script malicioso en el front-end de su sitio web. Los contratos inteligentes auditados nunca fueron tocados — sin embargo, ~$120M salieron por la puerta a través de aprobaciones de billeteras que los usuarios firmaron sin saberlo. Un análisis profundo sobre por qué el sitio web forma parte de tu superficie de seguridad.
- El secuestro DNS de Bitcoin.org: Cómo la página principal de Bitcoin se convirtió en una estafa de "duplica tus monedas"En septiembre de 2021, Bitcoin.org —el histórico sitio informativo de Bitcoin operado por el seudónimo Cobra— fue secuestrado a nivel DNS y convertido en un falso sorteo de "duplica tu Bitcoin", con el que los estafadores obtuvieron alrededor de $17,000 antes de que el sitio fuera dado de baja. Un análisis en profundidad de Domain Mayday sobre qué ocurrió, cómo sucedió y qué nos enseña sobre la dependencia del DNS incluso en sitios nativos de cripto.