En las últimas semanas, varios usuarios de Twitter han denunciado un caso de phishing dentro de la propia red social. Distintas personas que disponían de una cuenta verificada –periodistas, artistas o políticos, entre otros– han recibido mensajes directos de supuestos miembros del equipo de soporte de la compañía en los que se les instaba a confirmar su identidad para mantener su insignia azul. De otro modo, según esos mensajes, la verificación les sería retirada.
Las víctimas de esta estafa recibían el siguiente mensaje directo en inglés: “¡Hola, querido usuario de Twitter! Nuestro equipo de Twitter ha evaluado su cuenta con insignia azul como spam. Entendemos lo valiosa que es la insignia azul para usted. Utilice el siguiente formulario para apelar; de lo contrario, es posible que se elimine su insignia azul”. A continuación, adjuntaban un enlace donde les aseguraban que podrían restablecer su contraseña, pero el objetivo era precisamente robársela.
Como recuerda Twitter, el phishing es una estafa que consiste en enviar mensajes fraudulentos a un gran número de personas para intentar que revelen información privada (por ejemplo, una contraseña) bajo engaño. En muchos casos, como de hecho ha ocurrido en este, conlleva una suplantación de identidad en la que el estafador se hace pasar por una empresa o institución, y los sitios web fraudulentos pueden parecer legítimos.
En Newtral.es hemos contactado con la red social, desde donde nos redirigen a su Help Center y explican que, tal y como recogen en este tweet, Twitter nunca pide tu contraseña, por lo que si recibes una solicitud de verificación solicitando la información de tu cuenta, es falsa. Te explicamos este caso de phishing paso a paso:
El objetivo del phishing en Twitter: cuentas con verificación
El blanco de esta campaña de phishing en Twitter son cuentas que tienen el sello de verificación. Uno puede saber si una cuenta está verificada si al lado de su nombre aparece una insignia azul. Para obtener esta distinción, la cuenta “debe ser importante y estar activa”, según explica la compañía. Actualmente Twitter otorga esta insignia a seis tipos de cuentas: Gobierno; empresas, marcas y organizaciones sin fines de lucro; organizaciones de noticias y periodistas; entretenimiento; deportes y deportes electrónicos; y activistas, organizadores y otras personas influyentes.
[He caído en un ‘phishing’ o estafa de internet: ¿qué puedo hacer?]
Para conseguir la verificación, además de cumplir con los requisitos mencionados anteriormente, los interesados tienen que enviar una solicitud ofreciendo pruebas de que su cuenta es auténtica. Por todos estos motivos, las cuentas que disponen de la insignia azul ofrecen una mayor ‘confianza’, y de eso precisamente se han aprovechado los estafadores en este caso.
¿Desde qué cuentas se envían los mensajes?
De acuerdo con las denuncias publicadas en Twitter por distintas víctimas de este caso de phishing, estas notificaciones procedían de otras cuentas con verificación que, al igual que las suyas, contaban con el sello azul.
El caso de Badiucao y Reynoso
Un ejemplo es el caso del activista y artista chino Badiucao, que denunció públicamente en su perfil que le habían intentado robar la contraseña:
⚠️Looks like someone is faking @Twitter official account to steal password!⚠️
— 巴丢草 Badiucao?? (@badiucao) May 3, 2022
account link : https://t.co/ETl2DcjtUE
Not sure if its Beijing operation to target dissidents.
I almost got tricked
Be careful people!@TwitterSafety @verified @TwitterSupport pic.twitter.com/mE9Wv3AWNq
Badiucao adjunta en su tweet dos capturas de pantalla en las que aparece el mensaje que ha recibido y la cuenta desde la que se lo han enviado. En este caso, el usuario que contacta con Badiucao se llama Esteban Reynoso. Si uno se fija, la cuenta de de Twitter de Reynoso (a través de la cual se llevó a cabo este caso de phishing) tiene la insignia de verificación y se describe en su biografía como “oficial del equipo de soporte Esteban Reynoso. Se le informará de un acontecimiento importante relacionado con su cuenta a través de este canal”. Sin embargo, tal y como el propio Reynoso explicó cuando recuperó su cuenta, había sido víctima de un hackeo. Lo único que había permanecido igual durante la usurpación de identidad había sido el nombre.
Desde Newtral.es nos hemos puesto en contacto con Reynoso, quien explica que completó el formulario del enlace pensando que necesitaba hacerlo ya que acababa de cambiar de trabajo. “[El mensaje] venía de una cuenta verificada, y sé que este truco usa cuentas verificadas para ingresar a otras. Así es como me atraparon, y conozco a otras tres personas que fueron pirateadas por mi culpa”, señala en su respuesta.
Además, indica que se puso en contacto con Twitter de inmediato, pero no vieron su caso hasta dos días después. “Mientras tanto, cientos, probablemente más de mil mensajes directos a otras personas con cuentas verificadas”, lamenta.
El caso de Miles Klee y Patrick Lyons
Este caso no es aislado. Miles Klee, autor de la novela Ivyland y de la colección de cuentos True False, denunció el pasado 28 de abril haber recibido un mensaje similar de un usuario con una cuenta verificada llamado Patrick Lyons:
the part i believed is that my account looks like spam https://t.co/hHGMoZUg8C
— Miley ? (@MilesKlee) April 28, 2022Publicidad
Se puede observar que la biografía de la cuenta de Patrick Lyons es similar a la que habían escrito en el perfil de Esteban Reynoso cuando le habían hackeado la cuenta. “Oficial del equipo de soporte Patrick Lyons. Se le informará de un acontecimiento importante relacionado con su cuenta a través de este canal”.
Pero Patrick Lyons, en efecto, no pertenece al equipo de soporte de Twitter, sino que es un escritor freelance. Al igual que Esteban Reynoso, Lyons también hizo saber que había sufrido un hackeo y pidió perdón por los mensajes directos que se habían enviado desde su cuenta durante ese periodo.
En resumen, los estafadores hackeaban cuentas de usuarios verificadas, cambiaban el texto de sus biografías y la foto de perfil y escribían desde estas cuentas -aprovechándose de la confianza que aporta la insignia de verificación- a usuarios de otras cuentas verificadas para robarles su contraseña.
Por su parte, el escritor y periodista Edward Lucas, quien también denunció un intento de phishing en su perfil, explica a Newtral.es que descubrió que se trataba de una estafa al ver que el enlace no iba a Twitter. “Tomé una captura de pantalla del mensaje y lo eliminé. No he tenido noticias de Twitter”, indica.
[Del ‘phishing’ al ‘ransomware’: tipos de estafas por internet para no caer en la trampa]
Phishing en Twitter: ¿Cómo obtenían la contraseña de los usuarios?
En el mensaje directo que los estafadores enviaban a las víctimas, aparecía un enlace en el que supuestamente podían acreditar su identidad para no perder la insignia azul.
Una vez pinchaban en él, este redirigía a una página que pedía introducir el nombre de usuario, tal y como ha podido comprobar Newtral.es antes de que Google bloquease la URL tras haber verificado que se trataba de un caso de phishing:
Una vez introducido el nombre de usuario, en el siguiente paso pedían, por un lado, escribir la vieja contraseña, y por otro, una nueva.
Precisamente en este punto es cuando los estafadores robaban la ‘vieja’ contraseña al usuario, lo que les daba acceso a sus perfiles, según explica en su blog Malwarebytes, una empresa especializada en seguridad informática que ha desarrollado un software antimalware. Esta empresa destaca, además, la verosimilitud del portal al que deriva el enlace enviado por los estafadores respecto a la apariencia real de la red social.
Evitar el phishing: ¿Cómo saber si un mensaje de una cuenta con verificación es realmente de Twitter?
En Newtral.es hemos contactado con Twitter para conocer si tienen constancia de estos casos y qué tipo de acciones estaban llevando a cabo para atajarlo. En su respuesta nos remiten a su Help Center, donde recogen que cuando necesitan que un usuario restablezca su contraseña enviarán un correo con enlace que “siempre vendrá del sitio https://twitter.com”.
En este caso, el dominio principal del enlace que utilizaban los estafadores era “https://account-violation.com/”. Después incluían una ruta de acceso en la que sí aparecía la palabra Twitter, pero esta no estaba en el dominio, como debería aparecer si la URL perteneciese a Twitter.
Además, se han pronunciado públicamente a este respecto a través de dos de sus cuentas oficiales. A través de @Verified, recuerdan a los usuarios: “Twitter nunca, nunca te pedirá tu contraseña. Si recibe una solicitud de verificación solicitando la información de su cuenta, es falsa”.
De igual modo, en @TwitterSupport han publicado un tweet donde desmienten que este tipo de mensajes fraudulentos procedan de la empresa. En él, indican: “Hemos escuchado que algunas cuentas se hacen pasar por empleados de Twitter y envían mensajes directos y correos electrónicos. Si nos comunicamos con usted, nunca le pediremos su contraseña y nuestros correos electrónicos se enviarán únicamente desde https://twitter.com/ / https://e.twitter.com”.
En caso de recibir correos de Twitter, la compañía también recuerda a los usuarios que solo envían correos desde dos direcciones: @twitter.com o @e.twitter.com. De igual modo, señalan que Twitter nunca envía correos electrónicos con archivos adjuntos ni pide contraseñas por correo electrónico, mensajes directos o respuestas.
¿Qué hacer si crees que alguien accedió a tu cuenta?
En caso de advertir en tu cuenta tweets que no has publicado, mensajes directos que no has mandado o acciones que no han sido aprobadas por tu parte –como seguir nuevas cuentas o bloquear usuarios–, Twitter recomienda seguir estos pasos:
- Cambiar la contraseña
- Asegurar que la cuenta de correo electrónico utilizada es segura
- Eliminar las conexiones de las aplicaciones a terceros
- Actualizar la contraseña en las aplicaciones de terceros en las que confías
De igual modo, Twitter recomienda llevar a cabo otras acciones como activar la autenticación en dos pasos o configurar la cuenta para que sea obligatorio proporcionar una dirección de correo electrónico y un número de teléfono para poder solicitar un enlace o código de restablecimiento de la contraseña.
- Información sobre correos electrónicos falsos de Twitter, Twitter
- Preguntas frecuentes sobre la verificación, Twitter
- Cuentas de Twitter verificadas de Christo Grozev, Badiucao, Edward Lucas, Esteban Reynoso, Patrick Lyons y Miles Klee
- Beware Twitter Messages claiming “Your blue badge Twitter account has been reviewed as spam”, Malwarebytes
- Consulta de prensa a Twitter
- Testimonios de dos de los afectados: Edward Lucas y Esteban Reynoso
