{wbamp-hide start}
{wbamp-show start}Escucha nuestro Podcast de Techdencias {wbamp-show end}
Un grupo de hackers ha encontrado una peculiar forma de hacerse publicidad: hackeando a sus potenciales clientes. Se llaman Spain Squad, y en el pasado les conocimos porque resucitaron cuentas bloqueadas por Twitter, asegurando que también podían tomar el control de cuentas activas.
En 2017 los miembros de este “grupo dedicado a la seguridad informática de celebridades”, influencers y empresas lo han iniciado por todo lo alto. Su primer tuit lo dejaba claro: “2017 y aún ningún miembro de SpainSquad ha sido detenido… Será divertido este año :)”
2017 y aún ningún miembro de SpainSquad ha sido detenido… Será divertido este año 🙂
— Spain Squad (@_SpainSquad_) 1 de enero de 2017
Y de ahí en adelante, un no parar. Emisión de streaming a través de una cuenta de Twitch que “tomaron prestada”, lograron que El Rubius les siguiera porque decían tener datos suyos y así con unos cuentos youtubers, los principales afectados de este 2017 que apenas comienza.
Hey @Rubiu5 creo que tenemos algo que te compromete, por favor, contacta con nosotros! pic.twitter.com/ale7cLIXuc
— Spain Squad (@_SpainSquad_) 4 de enero de 2017
En nuestra entrevista con Spain Squad las reglas estuvieron definidas desde el principio: como algunos miembros no querían hablar, tuvimos que hacerla mediante texto, ¿y qué mejor forma que a través de Twitter?
Para ello utilizamos el Twitter de @prtecnologia, y una de las preguntas claves es la que a muchos se les pasa por la mente: ¿Por qué?
¿Por qué hackear a los youtubers?
Según Spain Squad, su objetivo es mostrar la “debilidad de la seguridad” de los influencers, sin tener beneficio alguno. Desde luego después viene lo bueno: Les ayudan a “parchear” cualquier vulnerabilidad de datos que pueda estarles afectando.
“Nosotros nunca filtramos datos personales en público, los ocultamos detrás de la censura. El objetivo de ello es concienciar a la persona de que su seguridad tiene algún tipo de problema y, dado que la gente no es consciente la mayor parte de las veces de que puede ser así, utilizamos esta pequeña terapia de ‘shock’, demostrándoselo con algún tipo de pruebas como puede ser una captura de pantalla”, explican desde el equipo de Spain Squad.
Desde luego, les preguntamos sino consideraban que esta forma de vender sus servicios era agresiva y asustaba a sus posibles clientes, y esto nos respondieron: “Obviamente, pero el caso es que no creo que nadie sea consciente del peligro que corre hasta que le pasa a uno mismo”. En un tuit posterior nos explicaron que no ofrecían ningún servicio y que no ganaban ni un céntimo con estos avisos.
Hackeos de webs y de bases de datos de networks
En general, Spain Squad suele revelar datos de algunos servicios en donde se puede leer el nombre, la dirección de la víctima, entre otras. En algún caso han hackeado teléfonos móviles y a los chicos de @UnboxMeSpain incluso les han hakeado la web, aunque con ellos la historia viene de atrás.
La semana pasada Spain Squad envío a la base de datos de una network – red de canales de YouTube – información advirtiéndoles que su información no estaba totalmente segura. Desde ese momento los comentarios comenzaron a inundar Twitter, y entre ellos uno de @UnboxMeSpain, en donde, digamos, menospreciaba el trabajo de Spain Squad, esto significó la ira de los hackers, que decidieron tomar cartas en el asunto para demostrar su poder.
Así, el 14 de enero publicaron una foto en la que mostraban su logo de águila en la web de Unboxme.es. Luego la web volvió a funcionar con normalidad. Se desconoce si pactaron o si simplemente la dejaron como estaba – al final de cuentas solo querían demostrar quienes eran.
Hey @UnboxMeSpain creo que tu página ha sido afectada por alguien :3https://t.co/OtvWQRPOLn pic.twitter.com/WVBo8N1kf5
— Spain Squad (@_SpainSquad_) 14 de enero de 2017
Sobre el mensaje enviado a los youtubers de la network española, Spain Squad solo dijo que lo hicieron para “informar de la poca seguridad que ofrecía esta empresa”.
En general Spain Squad se especializa en conseguir vulnerabilidades como XSS, por ejemplo, agujeros de seguridad típocos de aplicaciones web, que permiten que terceros puedan incluir contenidos en otros lenguajes de programación, aunque también SQLi, UAC, CDRF y RCE, según explicaron los expertos.
Por último, una declaración: “No nos comparen con cibercriminales, no estamos para hacer el mal”, aseguraron.
Hackers con historia
Echando un vistazo atrás al Twitter de Spain Squad, observamos vulnerabilidades en cuentas de Spotify, aunque también en cuentas de correo electrónico de la policía catalana, por ejemplo. El primer tuit de este grupo fue publicado el 23 de septiembre del 2016, y era para decirle a @YellowMellowMG, la youtuber, que su cuenta había sido hackeada. Los hackers nos explicaron que tuvieron otra cuenta con miles de seguidores, pero Twitter se las cerró.
En verano pasado ayudaron al propio Rubius contra unos hackers que emitían mensajes a través de Twitter en su nombre.
Déjanos tu opinión sobre este tipo de grupos en los comentarios.
Seguiremos Informando…