Cómo un joven de 17 años utilizó técnicas de ingeniería social para controlar Twitter, robando 1.1 millones de dólares con un solo tuit.

El 15 de julio de 2020, Twitter presenció una extraña trama: las cuentas oficiales de Musk, Obama, Bezos y Apple publicaron al mismo tiempo: “Transfiere 1000 dólares en Bitcoin, te devolveré 2000”.

Esto no es una broma. En pocas horas, más de 1.1 millones de dólares en Bitcoin fluyeron hacia la billetera del hacker. Twitter luego cerró todas las cuentas verificadas globalmente - la primera vez en la historia.

Pero detrás de este impactante ataque de hackers en Silicon Valley no hay un grupo de hackers rusos, sino un adolescente de 17 años de Florida: Graham Ivan Clark.

¿Cómo lo hizo?

No es romper el código, sino romper la naturaleza humana.

Graham creció en Tampa, en un entorno familiar roto y con dificultades económicas. Comenzó a engañar en Minecraft: vendiendo objetos dentro del juego y huyendo con el dinero. Más tarde, mejoró su técnica al hackear el canal de YouTube que lo denunció.

A los 15 años, se unió al foro OGUsers: una comunidad de hackers que comercia cuentas robadas. Pero nunca escribió código. Usaba ingeniería social: suplantación, amenazas, engaños.

A los 16 años, dominó el esquema de cambio de SIM: haciéndose pasar por un empleado de la compañía telefónica, engañó a los operadores para que transfirieran el control del número de teléfono de la víctima a él. Una vez logrado, el correo electrónico, la billetera de criptomonedas y la cuenta bancaria de la víctima eran todas suyas.

Él se fijó en esos inversores en criptomonedas que ostentan su riqueza en línea. El capitalista de riesgo Greg Bennett se despertó y descubrió que más de un millón de dólares en Bitcoin había desaparecido. Los hackers dejaron un mensaje amenazándolo: “Si no pagas, iremos a buscar a toda tu familia.”

El último golpe

Para mediados de 2020, Graham quería hacer el mayor trato: atacar directamente a Twitter.

Durante la pandemia, los empleados de Twitter trabajaban desde casa de forma remota. Él y otro joven hacker se hicieron pasar por soporte técnico interno y llamaron a los empleados, engañándolos para que abrieran una página de inicio de sesión falsa. Decenas de empleados cayeron en la trampa.

Ellos subieron paso a paso en la jerarquía interna de permisos de Twitter—finalmente encontraron la cuenta de “modo Dios” que puede restablecer la contraseña de cualquier persona.

Dos menores de edad controlaron repentinamente 130 de las cuentas más poderosas del mundo.

Podrían haber filtrado DMs, publicado falsas alertas de guerra, paralizado el mercado. Pero simplemente iniciaron una estafa de Bitcoin: demostraron que pueden controlar el amplificador más grande de Internet.

¿Y luego?

El FBI lo localizó en dos semanas: los registros de IP, los chats de Discord y los datos de la SIM apuntaban todos a Graham.

Enfrenta 30 cargos graves, con una pena máxima de 210 años.

Pero como es menor de edad, solo cumplió 3 años en un centro de menores, además de 3 años de libertad condicional.

A los 17 años hackeó Twitter. A los 20 salió de la cárcel—ya era muy rico.

Irónicamente

Ahora Twitter se ha convertido en X, y cada día se ve inundado por estafas criptográficas. ¿Cuál es el principio de esas estafas? Es el mismo que utilizó Graham: aprovecharse de la avaricia, el miedo y la confianza de la naturaleza humana.

Lecciones clave:

• Ninguna empresa real te presionará para que transfieras dinero de inmediato.
• No compartas ningún código de verificación
• La cuenta de azul V es la más fácil de suplantar.
• Antes de iniciar sesión, asegúrese de verificar la URL

La ingeniería social no necesita código. Lo que necesita es entender el corazón humano. Graham demostró una verdad cruel:

No necesitas destruir el sistema, solo necesitas engañar a las personas que lo operan.