Hace un par de meses, el famoso bloguero de tecnología Linus Tech sufrió un ataque: sus tres canales de YouTube (uno de ellos con más de 15 millones de suscriptores) cayeron en manos de unos ciberdelincuentes que comenzaron a transmitir anuncios de estafas de criptomonedas. Pero ¿cómo lograron los atacantes acceder a los canales? ¿Es que el famoso bloguero no tenía protegidas sus cuentas con contraseñas seguras y la autenticación en dos pasos? Por supuesto que sí; al menos, eso es lo que él dice.
Linus Tech fue víctima de un ataque pass-the-cookie, un método común para dirigirse a youtubers. En esta publicación, analizamos más de cerca los objetivos y motivos que hay detrás de estos ataques, cómo consiguen los atacantes acceder a los canales sin conocer la contraseña y, en segundo lugar, cuál es la respuesta de Google y cómo evitar caer en la trampa.
¿Qué tienen de interesante los canales de YouTube?
Los canales más populares (y los menos) se suelen hackear para exigir un rescate a cambio de su devolución o para obtener acceso a su audiencia, como en el caso de Linus Tech, cuando, tras hackear el canal, los atacantes cambiaron el nombre, la foto de perfil y el contenido.
De esta forma, en lugar de un blog sobre innovación tecnológica, aparece un canal que imita la cuenta de alguna gran empresa (la mayoría de las veces Tesla) con la foto de perfil correspondiente. Después, los atacantes la usan para transmitir grabaciones de Elon Musk expresando sus opiniones sobre las criptomonedas. A menudo se elimina por completo el resto del contenido del blog.
A su vez, se coloca un enlace en el chat que dirige a un sitio con una “promoción única de criptomonedas”. Por ejemplo, el propio Musk supuestamente está regalando criptomonedas: para obtener su parte, se les pide a los usuarios que transfieran sus monedas a un monedero determinado, después de lo cual recibirán el doble.
Un detalle curioso consiste en que los estafadores suelen poner restricciones en el chat: solo los usuarios que llevan más de 15 o incluso 20 años suscritos al canal pueden publicar mensajes, independientemente de que el canal ni siquiera existiera por aquel entonces, de hecho, YouTube no apareció hasta el 2005.
Sí, este es un ejemplo de estafa típica que ya hemos analizado una o dos veces antes.
YouTube bloquea rápidamente la transmisión, junto con el canal del desafortunado bloguero, por violar las pautas de la comunidad de YouTube. Después, el auténtico propietario se enfrenta a la ardua tarea de tener que restaurar su propio canal y demostrarle a la plataforma que no ha sido él quien ha distribuido los enlaces a sitios falsos ni retransmitido anuncios fraudulentos.
En el caso de Linus Tech, con sus 15 millones de suscriptores, esto resultó relativamente fácil. Su canal se restauró en cuestión de horas, aunque perdió la monetización de ese día. Cuánto tiempo necesitaría un youtuber con una audiencia más pequeña para rectificar la situación, si es que lo consigue, es una pregunta a la que no te gustaría tener que enfrentarte personalmente.
Cómo secuestrar un canal sin la contraseña
Para hackear un canal de YouTube no es necesario que los atacantes roben ninguna credencial, basta con conseguir tokens de sesión. Pero lo primero es lo primero…
Un ataque típico a un canal de YouTube comienza con un correo electrónico al bloguero aparentemente desde una empresa auténtica que propone una colaboración; puede ser un servicio de VPN, un desarrollador de juegos o incluso un proveedor de antivirus. No hay nada sospechoso en el primer correo electrónico, por lo que el miembro del equipo del bloguero responde con un mensaje estándar que detalla sus tarifas de promoción de productos.
El siguiente correo electrónico es mucho menos inocente. En él, los estafadores envían un archivo que supuestamente contiene un contrato o un enlace a un servicio en la nube para descargarlo, además de la contraseña de este archivo. Para hacer que el correo electrónico sea más convincente, a menudo los atacantes añaden un enlace a un sitio web o a un perfil de redes sociales afiliado al producto que quieren que el bloguero “promocione”. El enlace puede dirigir al sitio de una empresa genuina o a una página falsa.
Si el bloguero o su empleado no tiene cuidado y descomprime el archivo, se encontrará con uno o más documentos que pueden parecer archivos de Word o PDF normales. Lo único extraño es que todos los archivos son bastante grandes (más de 700 MB), lo que hace que sea imposible escanearlos en busca de amenazas usando un servicio como VirusTotal. Muchas soluciones de seguridad los omitirán por la misma razón. Al abrir los archivos con herramientas especiales para analizar ejecutables, se descubre la presencia de muchos espacios vacíos, que es lo que hace que estos documentos sean tan grandes.
Por supuesto, esconder malware dentro del archivo que parece un contrato inocente es una muy buena táctica. Consciente del problema, Google analizó este tipo de ataques e identificó los distintos tipos de malware utilizados. Entre ellos estaba el troyano stealer RedLine, al que muchos youtubers han culpado de sus desgracias últimamente.
Los atacantes usan este malware para lograr su objetivo principal de robar tokens de sesión del navegador de la víctima. Con la ayuda de estos tokens o cookies, el navegador “recuerda” al usuario, lo que le permite evitar tener que pasar por un proceso de autenticación completo, con la contraseña y la autenticación en dos pasos, todas las veces que se inicie sesión. Es decir, los tokens robados permiten a los ciberdelincuentes hacerse pasar por víctimas autenticadas e iniciar sesión en sus cuentas sin las credenciales.
¿Qué pasa con Google?
Google lleva al corriente de este problema desde el 2019. Y, en el 2021, la compañía publicó un estudio importante sobre la campaña de phishing dirigida contra los creadores de YouTube con un malware que roba cookies. El Grupo de Análisis de Amenazas de Google investigó las técnicas de ingeniería social y el malware implementado en estos ataques.
Tras su estudio, la empresa anunció que había tomado una serie de medidas para proteger a los usuarios:
- Se implementaron pautas heurísticas adicionales para identificar y prevenir los correos electrónicos de phishing e ingeniería social, el secuestro de cookies y las transmisiones en vivo de criptomonedas fraudulentas.
- Navegación segura ahora incluye funciones mejoradas para identificar y bloquear páginas web y descargas maliciosas.
- YouTube ha fortalecido los procesos involucrados en la transferencia de canales, detectando y recuperando con éxito más del 99 % de los canales comprometidos.
- Account Security ha reforzado los procedimientos de autenticación para prevenir y alertar a los usuarios sobre actividades potencialmente riesgosas.
Pero ¿están funcionando estas medidas? A juzgar por los comentarios de los propios youtubers y el hecho de que los ataques siguen teniendo lugar regularmente, lo cierto es que no; de hecho, durante la redacción de este artículo, yo mismo he encontrado vídeos de Elon Musk en tres canales evidentemente robados. El mismo Linus Tech se indignó porque, para cambiar el nombre del canal y su foto de perfil y eliminar todos los vídeos, YouTube no pide al usuario que introduzca ninguna contraseña o código de autenticación en dos pasos.
Cómo proteger tu canal
Para no perder el control de tu propio canal, es recomendable que sigas una serie de precauciones. Dentro de tu empresa, instala una protección de confianza en todos los dispositivos corporativos y realiza formaciones periódicas en materia de ciberseguridad con el equipo. Todas las personas con acceso a cuentas corporativas deben:
- Conocer las señales típicas del phishing
- Ser capaz de identificar la ingeniería social
- No abrir nunca enlaces sospechosos
- No descargar ni abrir nunca archivos adjuntos de fuentes no confiables.