Una persona desconocida os dice que si enviáis una cantidad x en bitcoins (moneda virtual) a su cuenta de bitcoins os devolverá una cantidad 2x. Vosotros diríais que no. ¿Y si esa persona tiene un perfil verificado en twitter y es Elon Musk o Bill Gates? Por experiencia de los cursos de seguridad informática que imparto decir que *NADIE* regala nada. Si algo es gratis tu eres el producto (en este caso la víctima de esta estafa).
En julio de 2020 de pronto varias cuentas verificadas en Twitter aparecieron con mensajes en los cuales ofrecían, debido a la pandemia, dar el doble de bitcoins si tu ingresabas antes una cantidad x de bitcoins. En un ataque coordinado los hackers fueron capaces de hacerse con el control de cuentas y lanzar tweets ofreciendo esta estafa. Es una estafa porque ellos jamás te van a devolver lo que les envíes. Se lo van a quedar para sí, en la billetera que utilizaron para propagar el mensaje.
Las billeteras de bitcoins
En bitcoins se trabaja con billeteras, ésta es la billetera de los ciberdelincuentes https://www.blockchain.com/es/btc/address/bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh. Las billeteras son como la cuenta del banco y una particularidad de bitcoins y otras monedas virtuales es que todo el mundo sabiendo la dirección de la billetera puede saber el saldo y ver los movimientos de esta. Tu eres el dueño de esa billetera. El resto de mundo ve tu dirección y nada más, no ve tu nombre, apellidos, donde vives, País , nada, no hay un banco entre medias, es como si tu mismo crearás tu cuenta bancaria.
Hasta ahora ha recibido esta billetera 12.86899793 BTC que equivalen a 103.000,00 € en moneda real (fecha 17 de julio de 2020). Podéis ver la equivalencia bitcoin-otra moneda aquí -> https://es.investing.com/crypto/bitcoin/btc-eur-converter
Resulta difícil de creer que los ciberdelincuentes hayan sido capaces de acceder a los sistemas de twitter a través de un empleado de la empresa que descuidó su seguridad (no lo digo yo, lo dice twitter -> https://twitter.com/TwitterSupport/status/1283591846464233474). ¡Un empleado de twitter! No un informático de la tienda de al lado de vuestra casa (que estoy seguro es buen informático).Posiblemente nunca se sepa el proceso exacto (por seguridad interna de twitter es lo más probable). Mediante ingeniería social han conseguido hacerse con el control de cuentas importantes verificadas de twitter. Quizás es necesario un cambio por completo de la forma de poder acceder una persona a su propia cuenta. La verificación de dos pasos parece no ser suficiente.
Fuentes
https://www.blockchain.com/btc/address/bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
[…] de bitcoins que consiguió saltarse todo el sistema de autenticaciones de los usuarios (vease Robos de identidad en Twitter para conseguir bitcoins). Estoy seguro que esas cuentas hackeadas tenían la mayoría el 2FA y no sirvió para mucho si los […]