Un plan para hackear Twitter dirigido a las elites políticas, corporativas y culturales comenzó la noche del martes 14 de julio con un incitador mensaje entre dos hackers en Discord, una plataforma de mensajería en línea.
Por: Nathaniel Popper y Kate Conger | The New York Times
“Oye, hermano”, escribió un usuario llamado “Kirk”, según una captura de pantalla de la conversación compartida con The New York Times. “Trabajo en twitter / no le enseñes esto a nadie / en serio”.
A continuación, demostró que podía controlar valiosas cuentas de Twitter: el tipo de cosas que requerirían acceso interno a la red de cómputo de la empresa.
En las próximas 24 horas, el hacker que recibió el mensaje, con el nombre de usuario “lol” concluyó que en realidad Kirk no trabajaba para Twitter porque estaba demasiado dispuesto a dañar a la compañía, pero que sí tenía acceso a las herramientas más delicadas de Twitter, lo cual le permitía controlar casi cualquier cuenta en esa plataforma, incluyendo la del ex presidente Barack Obama, el ex vicepresidente Joe Biden, Elon Musk y muchas otras celebridades.
A pesar de la atención mundial que atrajo la intrusión, que ha puesto en duda la confianza en Twitter y la seguridad proporcionada por otras empresas de tecnología, siguen siendo un misterio los detalles básicos de quiénes fueron los responsables y cómo lo hicieron. Las autoridades aún están en las primeras etapas de su investigación.
Sin embargo, cuatro personas que participaron en el plan hablaron con The New York Times y compartieron diversos registros y capturas de pantalla de las conversaciones que sostuvieron el 14 y el 15 de julio, que demuestran su participación tanto antes como después de que se hiciera público hackeo a la aplicación.
Las entrevistas indican que el ataque no fue obra de un solo país como Rusia ni de un grupo sofisticado de piratas informáticos. Más bien, los responsables fueron un grupo de jóvenes (uno de los cuales dice que vive en casa con su madre) que se conocieron por su obsesión de tener nombres de usuario básicos o inusuales, compuestos sobre todo por una letra o un número, como @y o @6.
The New York Times verificó que las cuatro personas estuvieron vinculadas con el hackeo al ver que sus cuentas de redes sociales y de criptomonedas coincidían con las cuentas involucradas en los acontecimientos del 15 de julio. Asimismo, estos individuos presentaron pruebas que corroboraron su participación, como los registros de sus conversaciones en Discord, una plataforma de mensajería popular entre jugadores y hackers, así como de Twitter.
De acuerdo con un análisis de las transacciones de Bitcoin que hizo el Times, con la asistencia de la firma de investigación Chainalysis, uno de los principales involucrados fue Kirk, quien recibió y retiró dinero de la misma dirección de Bitcoin a lo largo del día.
No obstante, la identidad y la motivación de Kirk, así como si compartía el acceso a su cuenta de Twitter con alguien más, siguen siendo un misterio, incluso para las personas que trabajaron con él. Aún no se sabe con claridad qué tanto usó Kirk su acceso a las cuentas de personas como Biden y Musk para obtener información más privilegiada, como sus conversaciones privadas en Twitter.
El hacker “lol” y otro con el que trabajó, cuyo nombre de usuario era “ever so anxious”, revelaron a este diario que querían hablar de su trabajo con Kirk para demostrar que solo habían facilitado las compras y adquisiciones de direcciones de Twitter menos conocidas durante las primeras horas del día. Dijeron que no habían seguido trabajando con Kirk cuando comenzó ataques de más alto perfil alrededor de las 3:30 p. m., hora del este, el 15 de julio.
“Solo quería contarles mi historia porque creo que podrían aclarar algunas cosas sobre mí y ever so anxious”, dijo “lol” en una conversación en línea en Discord, donde compartió todos los registros de su conversación con Kirk y demostró que era propietario de las cuentas de criptomonedas usadas para hacer transacciones con Kirk.
“lol” no confirmó su identidad en el mundo real, pero dijo que vivía en la Costa Oeste y que rondaba los veintitantos años. “ever so anxious” dijo tener 19 años y vivir en el sur de Inglaterra con su madre.
El usuario conocido como Kirk no gozaba de gran reputación en los círculos de hackers antes del 15 de julio. Su perfil en Discord apenas se había creado el 7 de julio.
No obstante, “lol” y “ever so anxious” eran bien conocidos en el sitio web OGusers.com, donde se reúnen los hackers desde hace años para comprar y vender nombres de usuario valiosos de redes sociales, dijeron los expertos en seguridad.
Para los jugadores en línea, los usuarios de Twitter y los hackers, los llamados nombres de usuario OG (por lo general consisten en una palabra corta o incluso un número) son muy deseados. Los primeros en usar una nueva plataforma en línea acaparan estos apodos atractivos y se les conoce como los “gánsteres originales” de una nueva aplicación (OG es por su sigla en inglés).
Los usuarios que llegan después a la plataforma a menudo anhelan la credibilidad de un nombre de usuario OG y pagarán miles de dólares a los hackers que los roben de sus propietarios originales.
Kirk se puso en contacto con “lol” ya tarde el 14 de julio y luego con “ever so anxious” el 15 de julio por la mañana a través de Discord y les preguntó si querían ser sus intermediarios y vender cuentas de Twitter al inframundo cibernético donde eran conocidos. Ellos se llevarían una parte de cada transacción.
En una de las primeras transacciones, “lol” fue intermediario de un acuerdo en el que alguien estaba dispuesto a pagar 1500 dólares en bitcoines por el nombre de usuario de Twitter @y. El dinero se depositó en la misma cartera de bitcóin que Kirk usó a lo largo del día para recibir pagos por hackear las cuentas de Twitter de celebridades, según muestran los registros públicos de las transacciones en bitcoines.
El grupo publicó un anuncio en OGusers.com en el que ofrecía apodos de Twitter a cambio de bitcoines. “ever so anxious” usó el nombre @anxious, que había codiciado durante mucho tiempo (su información personalizada todavía se encuentra en la cuenta suspendida).
“Me pareció genial tener un nombre de usuario que otra gente querría”, dijo “ever so anxious” en una conversación en línea con este periódico.
A medida que avanzaba la mañana, se apiñaban los clientes y subían los precios que Kirk exigía. Kirk también demostró cuánto acceso tenía a los sistemas de Twitter. Fue capaz de cambiar rápidamente las configuraciones de seguridad más fundamentales de cualquier nombre de usuario y envió fotos de los tableros internos de Twitter como prueba de que controlaba las cuentas solicitadas.
El grupo vendió los alias @dark, @w, @l, @50 y @vague, entre muchos otros.
Uno de sus clientes era otra figura conocida entre los hackers que trafican con nombres de usuario; un joven llamado como “PlugWalkJoe”. El 16 de julio, el periodista de seguridad Brian Krebs escribió un artículo sobre PlugWalkJoe, a quien identificó como un actor clave en el acceso ilegal a Twitter.
Los registros de Discord muestran que, aunque PlugWalkJoe adquirió la cuenta de Twitter @6 a través de “ever so anxious”, y la personalizó brevemente, no estuvo involucrado de ninguna otra manera en la conversación. PlugWalkJoe, quien reveló que su verdadero nombre es Joseph O’Connor, agregó en una entrevista con The New York Times que le estaban dando un masaje cerca de su domicilio actual en España cuando ocurrieron los hechos.
“No me importa”, dijo O’Connor, quien mencionó tener 21 años y ser británico. “Pueden venir a arrestarme. Me reiría de ellos. No hice nada”, manifestó.
O’Connor dijo que otros hackers le habían informado que Kirk tenía acceso a las credenciales de Twitter cuando encontró una forma de ingresar al canal interno de mensajería Slack de Twitter y las vio publicadas allí, junto con un servicio que daba acceso a los servidores de la compañía. Los investigadores del caso dijeron que esa información coincidía con lo que ellos habían averiguado. Un vocero de Twitter se negó a hacer comentarios, con el argumento de que la investigación está en curso.
Todas las transacciones que involucraban a “lol” y a “ever so anxious” tuvieron lugar antes de que el mundo supiera lo que estaba pasando. Poco antes de las 3:30 p. m., los tuits de las principales compañías de criptomonedas, como Coinbase, comenzaron a solicitar donaciones en bitcoines para el sitio web cryptoforhealth.com.
“Acabamos de entrar a cb”, (la abreviatura de “Coinbase”) le escribió Kirk a “lol” en Discord un minuto después de tomar el control de la cuenta de Twitter de la compañía.
El registro público de transacciones en bitcoines muestra que la cartera de bitcoines que pagó para crear cryptoforhealth.com era la cartera que Kirk había estado usando toda la mañana, según tres investigadores, que dijeron que no podían hablar de manera oficial debido a que se seguía investigando el caso.
En varios mensajes de la mañana del 15 de julio, “ever so anxious” habló de su necesidad de dormir un poco, debido a la diferencia horaria en el Reino Unido. Poco antes de que comenzaran los hackeos de alto perfil, le envió un mensaje telefónico a su novia en el que le decía: “hora de la siesta, hora de la siesta”, y desapareció de los registros de Discord.
De inmediato, Kirk intensificó sus esfuerzos, ya que publicó un mensaje desde cuentas pertenecientes a celebridades como Kanye West y titanes de la tecnología como Jeff Bezos: “Envía bitcoines a una cuenta específica y te devolveremos el doble de tu dinero”.
Poco después de las 6 p. m., pareció que Twitter dio con el atacante y los mensajes cesaron. Sin embargo, la compañía tuvo que desactivar el acceso a un gran número de usuarios y días después todavía está descifrando lo que pasó.