icon

Siguiendo las huellas que dejaron los hackeadores de Twitter

Los hackers de Twitter que comprometieron más de una docena de cuentas de celebridades parece que dirigieron su botín a una dirección que anteriormente había enviado dinero a BitPay y Coinbase. Hay un intenso rastreo del dinero obtenido para intentar llegar hasta la identidad de los delincuentes informáticos.

Los atacantes supuestamente intentaron retirar fondos de clientes directamente, pero los intentos no tuvieron éxito, dice BlockFi.

De acuerdo a una investigación de Whitestream, una empresa de análisis de blockchain, 3 transacciones que se originan en la dirección "1Ai5" conducen a billeteras asociadas con Coinbase y BitPay, que proporcionan soluciones comerciales.

Coinbase Inc. es una plataforma de comercio de criptomonedas con sede en San Francisco, California, fundada en junio de 2012 por Brian Armstrong y Fred Ehrsam. El cofundador de Blockchain.info, Ben Reeves, fue parte del equipo fundador. Ofrece servicios de intercambio entre criptomonedas y monedas fiduciarias en alrededor de 32 países, así como almacenamiento y gestión de activos digitales en 190 países en todo el mundo.

BitPay es un proveedor de servicios de pago bitcoin con sede en Atlanta, Georgia, USA. Fue fundada en mayo de 2011 por Tony Gallippi y Stephen Pair. BitPay proporciona servicios de procesamiento de pagos de Bitcoin y Bitcoin Cash para comerciantes.
 
La dirección heredada fue la primera que ofrecieron los hackers, que luego cambiaron a una dirección Bech32 cuando apuntaron a cuentas que no son de criptomonedas.

Sin embargo, la dirección original es ahora el punto de consolidación de todas las ganancias obtenidas a través del ataque. Recibió 14.75 Bitcoin (BTC), con un valor aproximado de USD 135,000.

Se cree que 3 transacciones conducen a Coinbase y Bitpay. 
La 1ra. implica una transferencia de aproximadamente 1,2 BTC en mayo de 2020, por un valor de aproximadamente US$ 11.000 en ese momento. Las 2 últimas fueron enviadas 2 días antes del hackeo y son por cantidades mucho más pequeñas.

En particular, las últimas transacciones son mucho más sofisticadas ya que la dirección de cambio siempre es de un tipo diferente que cualquiera de las otras entradas. Esto hace que sea más difícil de rastrear, aunque es posible que el hacker simplemente esté en el proceso de cambiar a una dirección Bech32.

Según Whitestream, la primera transacción envió una pequeña cantidad de fondos a una dirección asociada a BitPay, mientras que las otras 2 se enviaron a Coinbase.

La dirección de los hackers parece ser claramente rastreable para esas compañías, posiblemente exponiendo su identidad. Sin embargo, es probable que estas transacciones estén relacionadas con el uso comercial, lo que podría dificultar las investigaciones.

Tampoco está claro por qué los hackers usaron una dirección antigua para realizar el ataque, ya que parece estar dando pistas innecesarias para la futura investigación. 

Además, dado que los hackers poseían al menos US$ 11.000 antes del ataque, un compromiso de cuenta tan masivo podría haberse utilizado para publicar anuncios que movieran el mercado. 

Al ingresar a posiciones fuertemente apalancadas antes de los tuits, los hackers probablemente habrían ganado mucho más dinero, explotando la vulnerabilidad de los empleados de Twitter.

Tal como Cointelegraph informó ya, docenas de cuentas de Twitter de exchanges e influencers de criptomonedas, compañías tecnológicas, políticos y celebridades cayeron progresivamente ante los hackers. Las cuentas publicaron una conocida estafa de criptomonedas que prometía duplicar el dinero de cualquiera que enviara Bitcoin a una determinada dirección.

Twitter dijo que el problema se debió a un ataque de ingeniería social realizado a empleados de alto rango con acceso de administrador. A través del panel de administración, los hackers tomaron el control de las cuentas cambiando sus contraseñas y correos electrónicos de recuperación.

Esto es similar a una violación de datos de BlockFi en mayo, cuando los delincuentes usaron un ataque de intercambio de SIM para obtener acceso a los registros internos de los clientes.

El caso BlockFi y los secuestradores

BlockFi reveló una violación de datos que potencialmente filtró las direcciones físicas y la actividad de la cuenta de sus clientes, destacando los riesgos de las plataformas financieras de KYC.

A propósito: BlockFi, un proveedor de préstamos de criptomonedas, informó que sufrió una violación de datos que puede poner a algunos de sus clientes en peligro físico.

Según su informe de incidentes, algunos de los datos de clientes de la compañía se violaron a través de un ataque de intercambio de tarjeta SIM realizado a uno de sus empleados.

Los atacantes robaron con éxito la cuenta de correo electrónico y el número de teléfono utilizados para el procedimiento de verificación de la cuenta del empleado, lo que les permitió acceder a los registros de BlockFi.

Los ataques de intercambio de SIM son el resultado de vulnerabilidades del operador de red y generalmente se realizan a través de conspiradores con acceso al equipo de la red telefónica, aunque también son posibles las técnicas de intrusión externa. Este tipo de ataque fue causante de varios robos de exchanges de alto perfil, pero generalmente apuntan a los propios clientes.

Los atacantes supuestamente intentaron retirar fondos de clientes directamente, pero los intentos no tuvieron éxito, dice BlockFi.

Sin embargo, los atacantes tenían acceso total a los datos del cliente utilizados como parte de los esfuerzos de marketing de BlockFi.

La compañía enfatizó que no se filtró "información de identificación no pública", que incluiría números de cuentas bancarias, contraseñas o números de seguridad social.

Sin embargo, los hackers obtuvieron acceso a los nombres completos de los clientes, las direcciones de correo electrónico, las fechas de nacimiento y, en particular, la información de la actividad y las direcciones físicas.

BlockFi afirma que no existe una amenaza para los fondos en BlockFi de los clientes: "Debido a la naturaleza de la información que se filtró, no creemos que exista ningún riesgo inmediato para los clientes de BlockFi o los fondos de la compañía".

Sin embargo, los datos de domicilio y actividad pueden exponer a los usuarios afectados a extorsión y robo físico.

BlockFi no reveló qué tipo de datos de actividad se incluyeron en estas bases de datos y se negó a responder la consulta de Cointelegraph sobre el tema, refiriéndose al reporte total del incidente.

Un portavoz no identificado solo agregó: "no hemos recibido más indicios de que un tercero no autorizado haya alterado la información a la que se accedió en este momento".

Sin embargo, es fácil creer que simplemente leer los datos de la actividad permitiría a los atacantes conocer el tamaño de la cuenta del cliente y las promesas de garantías. Este tipo de datos es crucial para cualquier campaña de marketing dirigida.

Además, la política de privacidad de BlockFi establece explícitamente que esta información está disponible para uso de marketing:

“Podemos utilizar su información personal e información sobre cómo utiliza nuestros servicios para enviarle información promocional y de otro tipo. También podemos usar su información personal para realizar un análisis con respecto a su uso de nuestros servicios y productos y la efectividad de nuestras iniciativas de marketing".

La conexión entre la dirección de la casa, la actividad de los clientes en la plataforma y sus datos de identificación podrían permitir a los delincuentes apuntar con precisión a las víctimas de este ataque para extorsionarlos por sus criptomonedas.

Este tipo de robo no es desconocido, ya que un hombre de Singapur habría sido secuestrado en enero y obligado a transferir las criptomonedas en su poder.

Se reportaron casos similares en 2017, en particular el secuestro del director del exchange de criptomonedas Exmo en Ucrania. También se informó que India tuvo varios de esos casos ese año.

Un desarrollador 'core' de Ethereum aprovechó la ocasión para encomiar el anonimato de las finanzas descentralizadas basadas en blockchain y dijo: "¿los detractores finalmente comenzarán a entender el punto de las DeFi en Ethereum?"

Si bien las DeFi conllevan un conjunto diferente de riesgos, las consecuencias de las violaciones de datos en plataformas centralizadas que contienen datos de 'Conozca a su Cliente' podrían ser catastróficas.