Como ya muchos sabréis, por que se ha publicado en casi todo tipo de medios, el canal del youtuber y streamer Ibai fue hackeado. Un canal con 10M de suscriptores.
No ha sido el único, pero si uno de los más representativos en mundo hispanohablante.
El canal una vez hackeado, se pusieron en privado todos los vídeos y pusieron uno en bucle de una “supuesta” retransmisión en vivo de Elon Musk.
Tanto es así, que el canal también cambió el nombre y el logo, dando toda la apariencia del canal oficial de Tesla.
Lo que se encontraron los suscriptores es una nueva notificación de vídeo subido, como siempre, y fueron a ver de que se trataba. Y se encontraron con la sorpresa de ese “falso” directo de Elon.
La estafa.
Si amigos, por que todo eso no es un ataque de tipo Ramsonware que te piden un rescate por recuperar el canal, que podrían, es una estafa a los suscriptores de ese canal.
¿Cómo?
Pues muy fácil, mientras estás viendo el vídeo, tienes un apartado en el cual te piden dinero para invertir, esta inversión además es en criptomonedas. Y te “prometen” unas revalorizaciones poco más que de ensueño.
Y ahí se cierra el círculo, los suscriptores (normalmente gente muy joven) ven que se sube un directo de alguien muy importante y con mucha influencia en su canal de confianza, y además te piden una inversión con una falsa promesa con la moneda digital de moda de turno.
Lo tiene todo, para que caigan unos cuantos cientos de incautos y ya se sabe, cientos por aquí, cientos por allá haciendo “inversiones” de 2-10$ o Euros de media…. Hagan cuentas.
El hackeo.
Pero bueno, no nos vamos a limitar a contar solo lo sucedido, vamos a darle contexto dentro de nuestro mundillo.
Primero, hay que pensar que los streamers son gente ya con un equipo potente detrás suyo. Ya sean editores, maquetadores, viñetistas, diseñadores, guionistas… Nada que envidiar a un programa de TV clásico.
Por lo tanto, hay bastantes personas que tienen acceso a la cuenta del canal.
El clásico ataque de phishing sigue siendo el más eficaz, mails para promos con empresas privadas (publicidad), eventos, etc, etc.. Y no son pocos mails que se reciben, los encargados de esto tienen que discernir entre las ofertas que quieran hacer o no, además de sus posteriores negociaciones como además intentar aquellos que sea fraudulentos. Y todo ello, en general, sin estar preparado ni tener formación. Recordemos además, que este tipo de ataques se están sofisticando más, gracias a las IA’s.
Otro enorme vector de ataque es el software pirata. Si, los canales más emergentes pero que aún no generan los suficientes ingresos, piratean suits de diseño y edición de video. Con lo cual pues te pueden colar cualquier malware dado, además recordemos que normalmente para instalar este tipo de software, tienes que deshabilitar tus defensas.
Y lo peor de todo, que para el nivel en el que están, hay software libre (Davinci Resolve) que es más que suficiente para las necesidades que tienen, pero requiere un aprendizaje su uso.
Y una ya más sofisticada, y que es probablemente que se usó para canales grandes, es Session Hijacking.
¿Sabes eso que ocurre cuando accedes a tus servicios y no tienes que loguearte? Pues se trata precisamente de hacerse con esa cookie que permite este tipo de inicio de sesión. Además esto se agrava si la cuenta es compartida con más usuarios. ¿Recuerdas la de gente que trabajaba en este tipo de canales? Por ahí van los tiros, más un poco de phishing… Y la magia está hecha.
¿Qué pasa con MFA?
Pues que si te roban la cookie, no hay MFA que valga por que tu dispositivo es válido, así que no te la va a pedir. De nada vale.
Soluciones:
- Reducir la superficie de ataque, o sea el número de personas que tienen acceso.
- Quitar el acceso automático.
- Y hacerse con una llave de seguridad, una de ejemplo, es que da igual que te roben la cookie, que se hagan con tu MFA, si no tienen la llave física que se pedirá cuando te conectes… No podrá acceder, al menos de momento.
Conclusiones:
Cada vez que estamos más expuestos en las redes, más necesitamos asegurar nuestro entorno. Este tipo de profesionales, ya deberían de estar planteándose contratar algún tipo de servicio o personal especializado. No dejan de ser dianas en este mar digital.
Spanish 
English