MENÚ
MALDITA TECNOLOGÍA

Suplantación de identidad y phishing en Twitter: robar una cuenta verificada para engañar a otros perfiles

Publicado
Actualizado
Comparte
Categorías
Recursos utilizados
Material producción propia

Los ataques de phishing pueden usar diferentes temas, tener distintos formatos y pedir más o menos datos, pero se pueden adaptar a cualquier plataforma, así que no debemos pensar que solo nos van a llegar por correo o a través de falsas promociones. Además, algunos son más sofisticados que otros, como es el caso de un timo que se ha extendido por Twitter en las últimas semanas aprovechándose de las cuentas verificadas.

Comienza con una persona que consigue hacerse con el control de una cuenta verificada, que se distinguen porque tienen un pequeño tic al lado del nombre. Muchas celebridades, divulgadores, figuras públicas como políticos, medios de comunicación, asociaciones, empresas u ONGs tienen su cuenta verificada en Twitter, así sabemos cuál es la real entre todas las cuentas que pueden existir bajo el mismo nombre (en Twitter no tienes que registrarte con tu verdadera identidad si no quieres).

Los ciberestafadores que roban este tipo de cuentas pueden conseguir las contraseñas mediante ataques de phishing a los propietarios, por ejemplo. Una vez que toman el control de una de ellas, cambian la biografía y la imagen de perfil a la de Twitter Support, que es la cuenta oficial de Twitter de soporte de la plataforma. También se usa para comunicar cambios en sus políticas o instrucciones de uso de la red social.

Una vez hecho esto, contactan por mensaje directo a la persona que quieren engañar alegando un fallo técnico, una violación de las normas de la red social o cualquier otro supuesto, buscando que la víctima haga clic en el enlace que adjuntan. Ese enlace puede llevar a una página falsa en la que se nos pedirá una serie de datos personales que se quedarán los ciberatacantes, como explica el analista Marcelino Madrigal.

Imagen
Imagen subida a Twitter por la usuaria @MenendezFaya, también con cuenta verificada.

Este tipo de ataque pueden sufrirlo perfiles verificados en Twitter, ya que los atacantes querrán conseguir más cuentas con las que perpetuar el timo, pero también usuarios no verificados que pueden caer en un caso de phishing. Seguramente nos confiemos más de un perfil que se parece a uno oficial de Twitter que de una persona desconocida que nos escriba por la red social. Pueden enviarnos enlaces infectados o que llevan a páginas falsas de Twitter para hacerse con nuestras credenciales y nuestros datos.

Twitter no te pedirá nunca tu contraseña por mensaje directo

Algunos usuarios lo llevan denunciando varias semanas, hasta el punto de que cargos de Twitter en España han publicado una advertencia sobre el tema: un miembro del equipo de Alianzas Estratégicas de Twitter, Beatriz Arias, ha publicado en su cuenta personal un tuit señalando la cuenta real de Twitter Support en una imagen. "Importante: la única cuenta de Twitter Support es esta. Y nunca te pediremos tu contraseña. Desconfía de los DMs e intentos de hackeo", ha escrito.

Aparte de tener en cuenta que Twitter no te pedirá datos confidenciales por este medio, también puedes fijarte en detalles de la propia cuenta para comprobar si te la están intentando colar:

  • Comprueba el handle de la cuenta, es decir, el nombre de usuario que aparece precedido de un '@'. El de la cuenta oficial de Twitter Support es "@TwitterSupport", por lo que cualquier otro nombre indicaría que no es la cuenta real.
  • Comprueba los tuits anteriores de la cuenta que te ha escrito: ¿Están relacionados con Twitter o son de diferente temática? Pueden ayudarte a identificar si se trata de la cuenta real o no.
  • Compara el número de seguidores. La cuenta oficial de Twitter Support tiene alrededor de 6,5 millones de seguidores (a 14/01/2021). Si de repente te escribe una cuenta con 5.000 seguidores es un indicador de que no es la real.

No es la primera vez que ciberestafadores intentan suplantar la identidad de alguna de las cuentas oficiales de Twitter para engañar a los usuarios y obtener sus datos personales. Los compañeros de Maldito Bulo ya han informado en otras ocasiones de casos de suplantación en los que también se contactaba por mensaje directo.

Si tienes cualquier duda sobre este timo u otros en otras plataformas, puedes escribirnos a nuestro chatbot en el número +34 644 229 319 o a través de nuestras redes sociales.


Primera fecha de publicación de este artículo: 14/01/2021

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.