Kurt cayó en la trampa

 (fly.io)
1 puntos por GN⁺ 2025-10-10 | 1 comentarios | Compartir por WhatsApp
  • La cuenta de Twitter de Fly.io fue comprometida tras un ataque de phishing
  • El CEO Kurt Mackey explicó cómo terminó filtrando la información de la cuenta mediante un correo de phishing sofisticado
  • La cuenta de Twitter era considerada dentro de la empresa como un activo de baja importancia, por lo que quedó fuera de las prioridades de seguridad
  • Se enfatiza la importancia de la autenticación resistente al phishing (MFA, Passkeys, FIDO2, etc.) como medida de prevención
  • A raíz de este incidente, se menciona la necesidad de reforzar la seguridad MFA de la cuenta de Twitter y replantear la conciencia de seguridad

Resumen del incidente de phishing en Twitter de Fly.io

  • La cuenta de Twitter de Fly.io fue comprometida por un ataque de phishing
  • El CEO Kurt Mackey recibió un correo de phishing cuidadosamente diseñado y, al ingresar los datos de la cuenta, quedó expuesto al ataque
  • El trasfondo esencial del éxito del ataque fue que la importancia objetiva de esa cuenta de Twitter se percibía como baja, además de una vulnerabilidad psicológica del equipo encargado, poco familiarizado con la cultura joven de internet

Detalles del ataque de phishing

  • Desde hace tiempo, Fly.io había delegado parte de la gestión de su canal de Twitter a contratistas externos y no estaba del todo familiarizado con contenido de nueva generación como memes creativos
  • El correo de phishing usado en este ataque fue diseñado para parecer una alerta real de x.com (Twitter), explotando puntos psicológicos que activaban la ansiedad de la dirección ejecutiva
  • Kurt sacó las credenciales desde 1Password y terminó iniciando sesión en un sitio de phishing manipulado por el atacante
  • Tras el ataque, detectaron de inmediato rastros como el cambio del correo electrónico de la cuenta a uno controlado por el atacante, y pasaron internamente por etapas de revisión y bloqueo de todos los permisos de acceso

Estrategia de defensa contra phishing y estado de seguridad de la organización

  • En general, la prevención del phishing tiene límites si se basa solo en “capacitación del personal”, y es necesario reconocer que cualquiera puede hacer clic por error
  • La solución de fondo es aplicar una estructura de autenticación mutua mediante autenticación resistente al phishing (U2F, FIDO2, Passkeys, etc.)
  • La infraestructura interna de Fly.io está protegida con SSO y MFA seguros a través de Google IdP, por lo que las áreas de Twitter y sistemas legacy eran relativamente más vulnerables
  • A partir de este incidente, reconocieron la necesidad de aplicar el mismo nivel de seguridad de autenticación también a áreas no centrales, como cuentas compartidas de redes sociales

Respuesta al incidente y proceso de recuperación

  • El atacante invalidó de inmediato todas las sesiones e intentó restablecer el 2FA, por lo que, aunque Fly.io cambió rápidamente la contraseña, la recuperación completa de la cuenta tomó tiempo
  • Con soporte manual de X.com, recuperaron por completo el control de la cuenta en alrededor de 15 horas
  • En conjunto, no hubo filtración de información de usuarios ni clientes, aunque sí hubo daño temporal a la imagen de marca y carga operativa para los ingenieros encargados de responder
  • El atacante eliminó parte del historial de Twitter de Fly.io, pero el daño real no fue grande

Conclusión y lecciones

  • La principal lección de este caso es que “incluso un CEO puede confiar fácilmente en un correo electrónico, y cualquiera puede caer en phishing
  • En adelante, planean aplicar obligatoriamente MFA basada en Passkeys a todas las cuentas importantes, y usar este caso como ejemplo en temas de compliance de seguridad como SOC2
  • En la toma de decisiones de seguridad dentro de la organización, si existe algún activo al que no se le haya aplicado “autenticación resistente al phishing y SSO IdP”, debe reconocerse necesariamente como un factor de riesgo
  • Esperan que este incidente sirva como advertencia para organizaciones similares

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-10-10
Opiniones de Hacker News

  • En una empresa anterior, cada vez que recibíamos una auditoría de seguridad anual con pentest, la firma auditora siempre proponía intentar también ataques de phishing o de ingeniería social, pero no lo recomendaban porque decían que siempre funcionaba.
    Una historia que recuerdo es que, si la empresa de pentest dejaba tiradas a propósito algunas memorias USB en el estacionamiento, alguien siempre las recogía e intentaba conectarlas a una PC de la oficina, y al final terminaban comprometidos.
    El phishing en realidad no es muy diferente.
    Es un buen momento para configurar passkeys; vean la guía de Passkeys

    • En nuestra empresa también hacemos simulaciones de phishing periódicamente contra el equipo interno, y la tasa de gente que no hace clic llega al 90% (no estoy seguro de la cifra exacta).
      Aun así, impresiona darse cuenta de que el 10% son 1500 personas.
      Hace poco cambiaron el dominio remitente del correo de phishing a un dominio interno, así que ya no aparecía el banner habitual que avisaba que era correo externo, y hasta yo caí.

    • Alguien mencionó lo de conectar una USB encontrada y terminar hackeado, y hay una cita que me gusta mucho.
      Es de una fuente anónima involucrada en el ataque de 2012 a la planta nuclear iraní (Stuxnet).
      Dijo: "Siempre hay algún idiota al que no le importa mucho la USB que tiene en la mano".

    • El año pasado recibí un correo de phishing en mi correo de trabajo y era bastante convincente.
      Sabía que era phishing, pero si hubiera estado realmente saturado, podría haber caído.
      Cuando veo sitios de phishing tan elaborados, me gusta abrirlos a propósito en un entorno sandbox y llenar los formularios con datos falsos para hacerles perder tiempo a los atacantes.
      Pero luego resultó que lo había enviado la empresa de pentest contratada por mi compañía, y la URL incluía un código vinculado a mi cuenta, así que me reportaron como víctima de phishing aunque no hubiera ingresado ningún dato.
      Si así evalúan si un phishing fue exitoso, entonces siento que el pentest no sirve de mucho.

    • Si el problema es que te comprometen por ejecutar sin pensar un ejecutable desde una USB o algo parecido, entonces las passkeys tampoco ayudarán.
      Si por ingeniería social logran que instales un ejecutable aleatorio, pasa lo mismo.

    • Se dice que Stuxnet justamente se distribuyó así, por medio de memorias USB, pero sinceramente no sé si en el mundo actual eso todavía siga funcionando.

  • Una vez estuve a punto de caer en phishing.
    Entré sin darme cuenta a un dominio apenas alterado, pero pude evitarlo gracias a que usaba una hardware wallet.
    Me hizo darme cuenta de que cualquiera puede caer en phishing si está ocupado, cansado o distraído por un momento.
    Como dice Thomas, es importante usar passkeys en todos los servicios.

    • Si ya estás familiarizado con el ecosistema de Apple, hay un tutorial que alguien armó por su cuenta sobre cómo implementar PassKey en una app de iOS.

    • Como contraargumento, creo que las passkeys todavía son confusas y tienen demasiadas limitaciones, así que no les veo una gran ventaja frente a usar un buen gestor de contraseñas y contraseñas fuertes.

    • Estoy muy de acuerdo con la idea de que "nadie está 100% a salvo del phishing".
      Hace algunos años incluso logramos que el responsable de seguridad cayera en una prueba de phishing.
      De verdad te hace sentir que cualquiera está en riesgo.

  • En el tema sobre el phishing fraudulento relacionado con Fly.io, si el ataque realmente hubiera causado daños grandes, no creo que lo habrían tomado tan a la ligera.
    Aun así, si alguien de verdad perdió criptomonedas por el enlace, me queda la preocupación de si la responsabilidad de Fly.io podría volverse un tema.

  • Hay estudios que muestran que el entrenamiento contra phishing no es muy efectivo.
    Ver "Understanding the Efficacy of Phishing Training in Practice"

    • Consejos como "no ingreses tu contraseña en sitios web donde no debas ingresarla, solo en los sitios donde sí debas hacerlo" al final son tautológicos.
      Se parece a cómo en el 2FA por SMS te dicen "¡no le des este código a nadie!", pero a la vez el sistema está diseñado para que lo escribas y lo entregues directamente al sitio cuando inicias sesión.
      Ese tipo de mensajes de advertencia siempre me resultan frustrantes.

    • Trabajo en una industria muy regulada y, hace algunos años, después de que un empleado cayó en phishing, el regulador pidió los registros de cinco años de pruebas y capacitación en phishing.
      Para gente como nosotros, este tipo de entrenamiento también cumple el papel de mal necesario.

    • En el artículo original ya mencionan el enlace a ese mismo paper.

    • Me identifiqué con eso de que "nuestros hijos Zoomer nos dicen que los adultos como nosotros somos demasiado anticuados como para confiar en nosotros en estas cosas".
      Aun así, me gusta que lo tomen con humor.

  • Los correos de phishing de "el contenido publicado en X viola las normas" son tan comunes que recibo más de 10 por semana.
    Por eso he tenido que cambiar varias veces los filtros de correo (no es fácil detectar simplemente la letra X, y los estafadores siguen cambiando el texto).
    Al final cambié el servicio de seguridad de correo que usaba; probé varios proveedores, pero solo Check Point logró bloquear todos los correos de phishing de X (no es publicidad, solo lo menciono como dato).
    Incluso desde la perspectiva de una empresa de seguridad, daba vergüenza que muchas veces no detectaran señales de phishing tan claras.

  • Hace unos meses yo también sufrí exactamente el mismo tipo de ataque de phishing.
    El nivel de ingeniería de UI fue realmente impresionante.
    Captura de pantalla de la pantalla de phishing

    • Vi una noticia de que Chromium está desarrollando funciones de AI locales para el navegador, y pensé que algún día algo así podría usarse también para revisiones de seguridad.
      Por ejemplo, en enlaces externos que se abran en una pestaña nueva, la AI podría detectar que "esta página parece un sitio conocido, pero la URL es distinta" y mostrar una advertencia.
      Incluso si se aplicara solo a los 1000 sitios más conocidos, creo que podría prevenir muchos incidentes de phishing.

    • Una URL como "imagecontent-x.com" me parece una pista que debería hacer desconfiar a cualquiera.

    • Me pregunto si en ese caso el navegador no autocompletó la información de inicio de sesión.
      También me da curiosidad si esto ocurre con frecuencia incluso en tráfico legítimo, y si junto a la barra de direcciones aparece correctamente el ícono del candado.

  • Viendo lo bien que el atacante armó la landing page falsa y el correo de phishing, me pareció impresionante.
    Como normalmente no conozco mucho del mundo cripto, me da curiosidad en qué se basaban para decir que "las probabilidades de éxito eran bajas y no hubo daños".
    Me gustaría saber si se puede rastrear la wallet usada en la landing page falsa para verificar si realmente no hubo víctimas.

  • Esto me volvió a recordar la importancia de un gestor de contraseñas que funcione bien.
    Si administras un sitio web, deberías procurar no romper la compatibilidad con los gestores de contraseñas.
    Cuando un sitio no permite autocompletar la contraseña, para mí es una señal de alerta inmediata y muy fuerte.
    Creo que el 2FA basado en códigos no sirve para prevenir phishing en absoluto.
    Si yo inicio sesión, el atacante también puede llevarse el código 2FA, así que da igual el método.

    • La persona que creó haveibeenpwned.com también tiene experiencia habiendo caído en phishing (incluso usando un gestor de contraseñas).

    • Me pregunto cómo concilian eso con los casos en que personas técnicamente competentes usan gestores de contraseñas y aun así caen en phishing.

    • Hay que desactivar el autocompletado.
      Los ataques modernos incluyen cosas como tapjacking, así que es riesgoso.

  • Me preguntaba por qué este post había llegado tan arriba, pero al final, al ver el nombre del autor (Kurt), lo entendí.
    La lección es que "si hasta Kurt cae, cualquiera puede caer".
    Esta vez el daño fue muy pequeño, pero cualquiera tiene puntos ciegos, y sobre todo en esos rincones descuidados es donde se esconden estas vulnerabilidades.
    Si el atacante no hubiera sido un simple estafador sino alguien realmente malicioso, creo que podría haber seguido con más ingeniería social partiendo desde la cuenta oficial de la empresa.

    • Creo que se refiere a una persona llamada Kurt.

  • El texto en sí también es excelente, pero además la técnica de phishing me pareció realmente sofisticada.

    • Escuché que esta estafa de phishing se ha puesto de moda últimamente y que no fuimos los únicos en caer.
      Pero antes de que pasara esto, yo no lo sabía.

    • Me dio risa el tono de humor autocrítico.
      Yo también recuerdo haber estado a punto de caer una o dos veces en el pasado.
      Normalmente me doy cuenta justo después de hacer clic, pienso "ah, no", y bloqueo la cuenta de inmediato para evitar daños.
      Imagen de referencia de la anécdota