La verdadera historia detrás del mayor ataque de ingeniería social en Twitter

No fue una ciber guerra. No fue un sindicato de élite ruso. Fue un adolescente problemático de Florida armado con una computadora portátil, un teléfono y la audacia de cambiar Silicon Valley. Graham Ivan Clark hizo algo que nadie pensó posible: no hackeó el código, hackeó a las personas.

El martes que cambió todo

El 15 de julio de 2020, las cuentas verificadas de Elon Musk, Obama, Bezos y Apple publicaron lo mismo:

“Envíame $1,000 en BTC y te enviaré de vuelta $2,000.”

Parecía un meme. No lo era. En horas, más de $110,000 en Bitcoin fluyeron a billeteras controladas por el atacante. Twitter desactivó todas las cuentas verificadas a nivel mundial por primera vez en su historia.

¿El responsable? Un chico de 17 años de Tampa, Florida.

De estafas en videojuegos a controlar Twitter

Graham creció sin dinero, sin dirección. Mientras otros jugaban Minecraft, él estafaba a los jugadores vendiéndoles artículos falsos. A los 15, se unió a OGUsers, un foro de hackers donde aprendió ingeniería social: no necesitaba saber programar, solo psicología.

A los 16 años, dominó el intercambio de SIM: convencer a los empleados del teléfono para obtener control sobre los números de otras personas. Con eso, obtuvo acceso a correos electrónicos, billeteras de criptomonedas, cuentas bancarias. Sus víctimas incluían a inversores de criptomonedas de alto perfil que publicaban su riqueza en línea. El capitalista de riesgo Greg Bennett se despertó un día sin $1 millón en BTC.

El salto final: Twitter desde adentro

A mediados de 2020, Graham tenía un objetivo: hackear Twitter antes de cumplir 18 años. Durante los bloqueos por COVID, los empleados trabajaron de forma remota desde dispositivos personales.

Graham y su cómplice fingieron ser soporte técnico interno. Llamaron diciendo que necesitaban 'restablecer credenciales' y enviaron páginas de inicio de sesión falsas. Decenas de empleados cayeron en la trampa. Gradualmente, accedieron a cuentas internas hasta que encontraron una cuenta con 'modo Dios'.

De repente, dos adolescentes controlaron 130 de las cuentas más poderosas del planeta.

El tweet de $110,000

A las 8 PM, los tweets salieron. Caos global. Cuentas verificadas bloqueadas. Celebridades en pánico.

Los hackers podrían haber hecho colapsar mercados, filtrado DMs privados, publicado falsas alertas de guerra. En su lugar, solo recolectaron cripto. Porque no se trataba de dinero, se trataba de demostrar que podían controlar el megáfono más grande de Internet.

El FBI lo rastreó en dos semanas: registros de IP, mensajes de Discord, datos de SIM. Graham enfrentó 30 cargos criminales. Potencial: 210 años en prisión.

Pero negoció un acuerdo. Como era menor, solo cumplió 3 años en prisión juvenil y 3 años de libertad condicional. Fue arrestado a los 17. Fue liberado a los 20. Y mantuvo la mayor parte del dinero legalmente.

El giro irónico

Hoy, Graham es libre. Rico. X (anteriormente Twitter) bajo Elon está inundado de estafas de criptomonedas diarias. Las mismas tácticas que lo hicieron rico funcionan todos los días en millones de usuarios.

Probó una dura verdad: no necesitas romper el sistema si engañas a las personas que lo dirigen.

Cómo no ser la próxima víctima

  • Descarta la urgencia. Las verdaderas empresas no piden pagos instantáneos.

  • Nunca compartas códigos o credenciales

  • No confíes en cuentas verificadas. Son las más fáciles de suplantar.

  • Verifica las URL antes de iniciar sesión

El ataque a Twitter no fue técnico, fue psicológico. El miedo, la avaricia y la confianza siguen siendo las vulnerabilidades más explotables en el planeta.