¿Qué pasó con las cuentas atacadas del aeropuerto y la rama judicial?

¿Qué pasó con las cuentas atacadas del aeropuerto y la rama judicial?

Expertos hablan de todas las vías de ataque posibles para los casos de 'hackeo' a cuentas de redes.

Cuentas hackeadas

Imágenes de cuentas de Twitter que sufrieron ciberataques en noviembre. 

Foto:

Tecnósfera

Por: Johnny Varón - Redacción Tecnósfera
02 de diciembre 2019 , 05:17 p.m.

El 'hackeo' que acusaron tanto el aeropuerto El Dorado como el Consejo Superior de la Judicatura (CSJ) la semana pasada tomó por sorpresa a usuarios que vieron publicaciones amenazantes, con errores de ortografía y hasta 'memes' en contra del presidente Iván Duque y su gobierno.

Lejos del tono burlón de los tuits, que duraron algunos minutos publicados, el "ataque cibernético", que describió el aeropuerto y el "hackeo (...) por personas inescrupulosas" que rechazó el CSJ dejó sin acceso a los operadores oficiales de las cuentas por cuestión de días.

EL TIEMPO encontró coincidencias con campañas similares denunciadas en otros países. Mientras las entidades adelantan investigaciones internas, expertos en ciberseguridad y 'ethical hacking' señalaron cuáles podrían ser las razones y modalidades de este tipo de ciberataques y analizaron patrones y características que se hallaron dentro de los trinos.

Muchas coincidencias

Uno de los hechos que más llamó la atención de los ataques es que las cuentas afectadas aparecieron temporalmente con un identificador (handle) modificado. A ambas cuentas les agregaron un guión bajo al final del nombre de usuario con lo que, por ejemplo, aunque la cuenta original del Consejo Superior de la Judicatura es @judicaturacsj,  durante el ataque aparecía como @judicaturacsj_.

En este sentido, aunque algunos usuarios de redes sociales apuntaban que podría tratarse de un empleado molesto tomando represalias, las posibilidades de coordinación aumentan las sospechas de un caso de secuestro de perfil en el que terceros toman control de la cuenta y cambian el nombre de usuario para ralentizar el proceso de recuperación en Twitter.

Los mensajes publicados durante el ataque a las cuentas también presentan algunas similitudes. En primer lugar, los trinos estaban dirigidos hacia el presidente Duque. Por otro lado, en cuanto a forma, algunos de los mensajes utilizaban íconos y estructura similares como el uso de mayúscula sostenida o el cambio de algunas letras por números en las palabras más graves. 

(Le puede interesar: Judicatura denuncia 'hackeo' de su cuenta de Twitter)

Mientras que el aeropuerto y el CSJ se contactaron con las autoridades para que sea la división de delitos cibernéticos y la Fiscalía quienes encuentren a los autores de los ataques, Colombiacheck, medio especializado en verificar información en la web, publicó un hilo en Twitter en el que concluye que "la cuenta del Consejo Superior de la Judicatura sí fue intervenida y que tanto los pantallazos que circularon de @judicaturacsj y de @judicaturacsj_ correspondían a la misma cuenta". 

Colombiacheck agregó que: "quien haya entrado a la cuenta actuó en este orden: primero, escribió los trinos amenazantes, segundo, cambió la arroba de la cuenta y le agregó el guion y tercero, luego alguien le removió el guion al arroba, pues la cuenta es de nuevo @judicaturacsj".

Ante ambos casos, Twitter envió un breve comunicado diciendo que tan pronto como se enteraron del problema, bloquearon las cuentas comprometidas. Mientras se investigaba la situación, la cuenta del aeropuerto no reportó actividad durante dos días, mientras que la cuenta del Consejo Superior de la Judicatura tampoco ha vuelto a publicar. Ambas organizaciones no dieron más detalles sobre el ataque o sobre si ya recuperaron los accesos.

EL TIEMPO encontró reportes de la prensa internacional del mes de octubre en los que se denunció incidentes de ciberseguridad en España con características similares de forma y de fondo.

Según reportó ABC, la cuenta oficial de la Universidad Pública de Navarra fue objeto de un ciberataque, en el que al igual que en el caso colombiano, los atacantes publicaron mensajes de amenazas en contra del dirigente político de Pamplona, España, Enrique Maya, y su familia.

Por otro lado, la página web de empresa de ciberseguridad Panda Security, reportó dos días después del evento de la universidad española que la cuenta oficial de la compañía de mensajería @CorreosAtiende se vio afectada. Durante la campaña maliciosa "la cuenta cambió de nick a @CorreosAtiende_" (con el guion bajo presente).

¿Cómo pudo pasar?

Los expertos coinciden en que para los casos puntuales del aeropuerto y la cuenta de la rama judicial se desconocen las motivaciones y los autores del hecho. En parte, algunos comentan que los mensajes pudieron acarrear peores consecuencias si los atacantes hubieran enviado mensajes aludiendo a cancelación de vuelos o situaciones similares. 

El consultor David Pereira, CEO de la firma de ciberseguridad SecPro, advirtió que entre los métodos más utilizados para hackear  una cuenta de Twitter figuran el uso de malware instalado en los dispositivos donde se alojan las cuentas. 

En ese sentido, si un colaborador de las instituciones se vio involucrado en algún ataque previo y es portador de un programa malicioso, por lo general un 'troyano', el atacante puede tener acceso a las credenciales de las cuentas y hasta quedar con el control total de la misma.

Pereira le dijo a EL TIEMPO que en el caso particular de las cuentas afectadas en noviembre no es seguro que se haya tratado de un hackeo

Por su parte, Maximiliano Cantis, jefe del laboratorio de ciberseguridad de ESET en Latinoamérica, contó a este periódico que existe una tendencia en la región con este tipo de ataques, con algunos incidentes en países como Chile y Argentina. En su opinión, no necesariamente significa que se usen métodos de hacking. 

"En la mayoría de ocasiones se trata de un trabajo de ingeniería social aunque existen métodos más sofisticados que violan la seguridad por fuerza, con sistemas automatizados que iteran hasta hallar la contraseña", explicó. En ese sentido, dijo que la generación de contraseñas seguras es la primera línea de defensa ante este tipo de acontecimientos. 

Cantis y Pereira coinciden que otra posibilidad podría ser engaños a través de correos electrónicos con enlaces maliciosos. De esta manera, los atacantes suelen direccionar al usuario hacia páginas web falsas (que lucen muy parecidas a las reales). Una vez allí, quienes manejan las cuentas son engañados con falsas notificaciones de problemas de seguridad en las que piden confirmar los datos de autenticación y terminan entregando sus datos de usuario y contraseña.

Los expertos no descartan la posibilidad de que este tipo de situaciones ocurra con "cuentas espejo", una modalidad de suplantación de identidad en una red social en la que podrían imitar su apariencia y hasta replicar publicaciones y la cantidad de seguidores comprando seguidores. Este tipo de cuentas funcionan a través de bots con IA que pueden hacer seguimiento a las cuentas reales, incluso durante meses, hasta lograr una apariencia muy similar.

¿Descuido?

No pasa desapercibido que recientemente Twitter publicó un reporte en el que advierte de la existencia de un kit de desarrollo de software malicioso (SDK por su sigla en inglés) con el que atacantes podrían haber violado la seguridad de información de usuarios, dando acceso a correos electrónicos, nombres y usuarios en Twitter y Facebook. Se desconoce si atacantes habrían hecho uso del SDK en los casos recientes. 

Por su parte, Fabio Assolini, analista senior de seguridad en Kaspersky aseguró que la principal razón de los hackeos a cuentas de Twitter proviene de comportamientos inseguros como "cuando el usuario de la cuenta utiliza una misma contraseña en muchos lugares"

Assolini agregó que usar contraseñas débiles y repetidas deriva en mayor facilidad para el secuestro de la cuenta. Si un incidente de seguridad afectó el correo de un usuario en el pasado y esa persona sigue usando la misma cuenta, fácilmente los ciberdelincuentes podrían suplantarle. "El criminal podrá postear cosas a nombre de la víctima o también podrá cambiar el nombre de usuario en la red social manteniendo el número de followers y robarse el acceso".

Por esa misma vía, Diego Espitia experto en 'ethical hacking', afirmó que estos casos se presentan cuando se les da un "manejo demasiado abierto" a las cuentas y cuando además "no se habilita la autenticación de dos factores". Esta capa adicional de seguridad permite al usuario agregar un código o clave diferente a la de inicio de sesión, para garantizar que solo el titular pueda acceder a la cuenta.

Hasta el momento de esta publicación, EL TIEMPO conoció que las autoridades han mantenido numerosas reuniones con los afectados y que se adelantan investigaciones técnicas para determinar el origen y las responsabilidades.  

Después de que se realice el proceso investigativo, que se encuentra en reserva, los autores podrán enfrentar juicio en el marco de la ley 599 del 2000 que incluyó en el código penal colombiano algunos delitos informáticos.

Según la información del caso, los responsables podrían ser procesados por suplantación de sitios web para capturar datos personales o por acceso abusivo a un sistema informático, en el que la persona es acusada de "acceder sin autorización (...) a un sistema protegido o no con una medida de seguridad y/o que se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo". 

JOHNNY LEWIS VARÓN
REDACCIÓN TECNÓSFERA
​@JohnnyLewis_

Descarga la app El Tiempo

Con ella puedes escoger los temas de tu interés y recibir notificaciones de las últimas noticias.

Conócela acá
Sigue bajando para encontrar más contenido

CREA UNA CUENTA


¿Ya tienes cuenta? INGRESA

Llegaste al límite de contenidos del mes

Disfruta al máximo el contenido de EL TIEMPO DIGITAL de forma ilimitada. ¡Suscríbete ya!

Si ya eres suscriptor del impreso

actívate

* COP $900 / mes durante los dos primeros meses

Sabemos que te gusta estar siempre informado.

Crea una cuenta y podrás disfrutar de:

  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta y podrás disfrutar nuestro contenido desde cualquier dispositivo.