"Hay una bomba en el cuartel general de Twitter". Ese y otros mensajes aparecieron en la cuenta oficial de Jack Dorsey, CEO de Twitter, poco antes de las nueve de la noche hora de Madrid.
El contenido de los mensajes era caótico; algunos contenían insultos racistas y otros defendían a la Alemania Nazi. Otros eran simples referencias a la cultura de Internet y los "memes". También hizo retuits a otras cuentas con mensajes igualmente insultantes y chocantes.
Este no era el verdadero Dorsey, evidentemente, algo que se confirmó cuando apareció un nombre cada vez más familiar: Chuckling Squad ("Escuadrón de la risa"). Un grupo de hackers que ya había atacado a otras personalidades famosas de Twitter en el pasado, pero que ahora habían conseguido pescar el pez más gordo del lago.
Hackers se divierten con la cuenta del CEO de Twitter
La cuenta de Dorsey estuvo bajo el control de los atacantes durante quince largos minutos. Hasta el punto de que parecía que los hackers ya no sabían que hacer, porque en sus planes no se contemplaba la posibilidad de que tuviesen control de la cuenta durante tanto tiempo.
Simplemente siguieron publicando mensajes hasta que el equipo de Twitter recuperó el control de la cuenta y empezó a borrar mensajes; algunos se quedaron durante diez minutos a la vista.
Pero ¿cómo habían conseguido hackear la cuenta del mandamás de Twitter? ¿Qué técnicas habían usado para saltarse la seguridad de sus servidores? Como suele ocurrir en estos casos, la respuesta es mucho más sencilla.
Cómo hackearon la cuenta de @jack
La pista está en que todos los mensajes de este periodo fueron publicados usando Cloudhopper, un servicio comprado por Twitter en sus primeros años para usar el servicio usando mensajes SMS.
Hora y media después, representantes de Twitter nos dieron la segunda pista; aunque no pudieron concretar, afirmaron que el ataque se había producido por un "descuido" de una operadora móvil.
El método usado por Chuckling Squad para tomar el control de la cuenta de Jack Dorsey y otros famosos en Twitter se llama "SIM Swap". Consiste en convencer a una operadora para que cambie el número de teléfono de una tarjeta SIM por el de la víctima.
Para conseguirlo, puede intentar engañar al servicio técnico de la operadora de que es el propietario del teléfono mostrando información robada; puede contarle una historia de que ha perdido la SIM y se ha comprado un móvil nuevo. O simplemente puede sobornar a un empleado con acceso a esta función interna.
Sea como sea, esto permite recibir los mensajes SMS de la víctima, y por lo tanto el atacante puede interceptar los mensajes de verificación en dos pasos de servicios como Twitter, sin necesidad de saber la contraseña de la cuenta.
En Twitter, los mensajes recibidos por SMS son marcados como que han sido enviados con Cloudhopper, y eso explicaría cómo los hackers consiguieron publicar en la cuenta de Dorsey.
Aún hay detalles de este caso por aclarar, como los pasos que Twitter tuvo que seguir para recuperar la cuenta, y porqué tardaron tanto. Puede parecer que 15 minutos no son muchos, pero ¿y si la cuenta de un líder mundial se hubiese hackeado de esta manera?
Ese no parece ser un problema para Donald Trump, que afirmó ayer que si alguien toma el control de su cuenta en Twitter, "no va a aprender mucho". Por supuesto, el verdadero peligro no es que nadie "aprenda" nada al hackear una cuenta de Twitter, sino que haga declaraciones que puedan afectar a la diplomacia internacional.