La idea de Elon Musk es “terreno fértil” para el phishing en Twitter: cómo protegerse

Una de las primeras medidas anunciadas por Elon Musk como flamante propietario de Twitter fue el lanzamiento de un abono de 8 dólares por mes para aquellos usuarios que deseen certificar la autenticidad de su cuenta. El fundador de Tesla, incluso, apeló a distintos memes para burlarse de quienes critican esta iniciativa, que entre otras cosas prevé diversificar las fuentes de ingresos de la plataforma y estar menos expuesta a la publicidad.

Sin embargo, distintos especialistas en ciberseguridad alertan que esta decisión puede transformarse en terreno fértil para el phishing, una técnica de suplantación de identidad que utilizan los delincuentes para acceder a datos de sus víctimas.

“A partir de que Musk salió a decir que se iban a cobrar 8 dólares para mantener los usuarios verificados, se armó un contexto de incertidumbre por parte de quienes ya tienen la insignia de verificación y por parte de aquellos que la están tramitando o la quieren tramitar”, explicó a MDZ Jorge Litvin, especialista en ciberseguridad y Chief Legal en la firma Resguarda.

“Eso, obviamente, es una oportunidad para el criminal, que va a tratar de explotar esa incertidumbre”, remarcó el experto, quien agregó: “Por un lado, a aquellas cuentas verificadas, seguramente les van a solicitar datos de tarjetas de crédito, como para generar una suscripción que, obviamente, no existe. Seguramente los ciberdelincuentes ofrecerán una especie de paquete, para intentar cobrar por adelantado. Se van a empezar a ver ese tipo de estafas. O, simplemente, pedirán los datos de la tarjeta de crédito para suscribirlos y esos datos los van a usar para otra cosa”.

Pero, más allá de la estafa con fines directamente económicos, otro aspecto a tener en cuenta es que los delincuentes podrán apuntar contra las cuentas con muchos seguidores. “Algo que ya está pasando, no sólo para los usuarios verificados, sino también con quienes quieren estarlo, es que empiezan a mandarles correos en donde en un plazo muy corto de tiempo les van a pedir que verifiquen sus cuentas”, señaló Litvin.

“En este caso, les van a pedir datos de acceso a la cuenta. Hay que tener presente que las cuentas ya validadas tienen un valor muy grande en el mercado, porque está prohibido venderlas. Hay mucha gente que hace mucho dinero con venta de cuentas”, agregó el experto, quien detalló: “Un criminal que se hace con una cuenta verificada, puede cometer ataques con mucho mayor credibilidad: por ejemplo, si la víctima es un influencer que tiene 200.000 seguidores y cuenta validada, si le cambian el nombre, la foto y se le borra el contenido, y se le pone el nombre de un banco, todos los usuarios van a confiar en que le está escribiendo ese banco. Porque es una  cuenta verificada que tiene un montón de seguidores. Entonces, esas son algunas de las cosas que van a pasar”.

Consejos para protegerse

En ese contexto, el especialista dio algunos consejos para que los usuarios eviten caer en las redes de los ciberdelincuentes y perder sus datos o, peor aún, dinero. “Hay que saber que Twitter jamás te va a pedir que pongas tu usuario y tu contraseña; hay que estar atento al mail y el dominio del correo que llega, y al medio por el que le llega. Hay que saber que Twitter no te escribe por mensaje privado dentro de la misma red social”, remarcó Litvin.

“Siempre la premisa es validar quién está del otro lado y desconfiar, de entrada, si te piden datos de tarjeta de crédito o usuario y contraseña. Y ni hablar si te piden el segundo factor de autenticación y te dicen que va a llegar un código por teléfono o por mensaje”, agregó el especialista, quien explicó: “El segundo factor de autenticación pierde todo tipo de sentido si uno lo comparte. Es esta validación por mensaje de texto o por aplicación de autenticación. Si el criminal obtiene ese número, es lo mismo que no tener nada”.

Finalmente, en caso de ser víctima de uno de estos ataques, es posible recuperar las cuentas (tanto de Twitter como de Instagram, por ejemplo). “Es un trámite que es relativamente rápido: se puede demostrar ante la plataforma que la cuenta fue comprometida y que uno es el dueño genuino y no es un criminal haciéndose pasar por uno para robarle la cuenta al titular genuino. Pero el criminal necesita muy poco tiempo para hacer lo que quiere hacer: recuperar la cuenta no significa que en el medio el criminal no la aprovecha”, concluyó Litvin.