Según un tuit publicado este lunes, Elon Musk ha dejado su puesto de director de Tesla y está regalando 10.000 bitcoins (56 millones de euros). Pero no es cierto: Musk no ha dejado su empresa y tampoco está regalando nada. Es más, ese perfil no es suyo, por mucho que aparezca con su nombre y su foto: la cuenta es @capgemini_aust y no @elonmusk. Se trata de una estafa que lleva moviéndose desde hace meses y que ahora se está llegando a perfiles hackeados mediante los que se promocionan tuits. Es decir, los estafadores están pagando para que sus tuits aparezcan como anuncios.
Desde principios de año se publican tuits similares que publicitan páginas web donde se asegura que se regalan bitcoins, en unos tuits que ahora también están llegando a muchos usuarios españoles. Estas páginas son todas muy parecidas: cuentan con una URL que a menudo hace referencia a Elon Musk, a Tesla o a Space X (y a veces a Trump) y tienen un diseño muy similar, que es el que aparece en la imagen compartida en los tuits.
Se pide a los ingenuos que pican una cantidad a partir de los 0,1 BTC (unos 550 euros) para, dicen, confirmar su cuenta, tras lo que se les devolverá lo mismo multiplicado por 10. Por supuesto, los estafadores no envían nada.
El timo de Twitter y Trump definitivo está sucediendo. Parece que la cuenta de JoeJoyce2 ha sido hackeada y está estafando con bitcoins con la apariencia de que Trump está haciendo un hilo en el que regala bitcoins. Más de 100 retuits en 2 minutos.
180.000 dólares estafados en un día
Lo peor es que ha funcionado. A principios de noviembre, los estafadores hackearon más de una docena de cuentas verificadas, como las de la editorial estadounidense Pantheon Books y las de dos congresistas estadounidenses, además de la del Ministerio de Transporte de Colombia. En su mayor parte se trata de cuentas medianas, con varias decenas de miles de seguidores.
El método es siempre parecido. Los estafadores se hacen con la contraseña de la cuenta y cambian el nombre y la foto por los de Elon Musk. Este empresario es conocido por sus mensajes llamativos y provocadores en Twitter (como ocurre también con Trump), cosa que ayuda a que alguien pueda creer que se ha lanzado en una campaña tan extravagante. Los timadores luego publicaron y promocionaron el mensaje de su estafa.
Según recoge Wired, los estafadores podrían haber engañado a 400 personas con esta acción de noviembre, llevándose unos 180.000 dólares (160.000 euros), de acuerdo con la información de transacciones asociadas a la dirección a la que se pedía el envío de bitcoins. Esta información es pública y se puede consultar. Se trataría de unos 400 euros de media por cabeza. Este lunes la cifra rondaría los 37.000 dólares (32.000 euros) con una acción similar que afectó a la marca británica de ropa Farah, con unos 15.000 seguidores, según TechCrunch.
Y si se escogen bitcoins y no otra divisa convencional es, en gran medida, porque no hay necesidad de identificarse, al menos hasta que no se convierten esos bitcoins a otra moneda, como explica a Verne el abogado David Maeztu, del despacho 451 Legal. Es decir, aunque las transacciones sean públicas, es aún más difícil rastrear a estos timadores que si usaran dólares o euros y una cuenta bancaria.
Otro caso que ha afectado a una cuenta conocida es el de la cadena de supermercados estadounidense Target (un millón de seguidores), que se vio afectada este martes. Ni siquiera se llegó a cambiar el nombre del perfil por el de Musk. Había respuestas, también falsas, al tuit de la empresa en las que se daba las gracias por el dinero recibido.
Dios... Ahora es la cuenta oficial de una cadena de supermercados multinacional comprometida por una estafa de bitcoins. Imagino que creían que Target tenía suficiente reconocimiento como marca y que no hacía falta cambiar el nombre mostrado a "Elon Musk".
Esta mañana, alguien accedió sin permiso a nuestra cuenta de Twitter. Este acceso duró aproximadamente media hora; se publicó un tuit falso durante ese tiempo acerca de un timo con bitcoins. Volvemos a controlar la cuenta, estamos en contacto con Twitter y estamos investigando.
Target ha dado explicaciones en un mensaje en el que apuntaba que el ataque solo duró una hora y que está hablando con Twitter para averiguar qué ha pasado. Las páginas ya están dadas de baja, los tuits están borrados y las cuentas han vuelto a sus dueños.
Contratar publicidad para promocionar una estafa
Twitter explica por escrito a Verne que ha mejorado “sustancialmente la forma de atajar las estafas de criptodivisas en la plataforma” y asegura que “en las últimas semanas” el número de veces que se han visto estos tuits “ha caído en un múltiplo de 10”.
También explica que sigue trabajando en el desarrollo de herramientas que permitan detectar esta actividad, lo que en ocasiones se consigue, asegura, antes de que los usuarios denuncien las publicaciones. Aunque la compañía no ha concretado estas medidas, en julio bloqueó cuentas que se cambiaron el nombre a Elon Musk, por ejemplo, aunque la práctica se ha repetido posteriormente.
Pero no nos da más detalles sobre el hecho de que los estafadores hayan contratado anuncios en Twitter con este contenido. En las normas de uso de su publicidad, la red social prohíbe la promoción de artículos y servicios ilegales, inseguros y engañosos, incluidas “las ofertas del tipo hágase rico rápidamente”.
Además, los tuits que se promocionan pasan un control previo a su publicación. De hecho, es habitual que la empresa eche para atrás mensajes que no cumplen las normas de la red social en cada país, dependiendo de su contenido, en un proceso que puede tardar en torno a una hora. En cuanto al pago, una vez se ha hackeado una cuenta, también se podría tener acceso a los datos que estén almacenados. Hemos preguntado a Twitter por el proceso de promoción de estos tuits, sin recibir más información.
Otro factor que ayuda a explicar que se hackeen cuentas de empresas es el hecho de que muchas marcas no utilizan la verificación en dos pasos, como apunta también TechCrunch. Este tipo de verificación pide, además de la contraseña, la introducción de un código que se envía a un número de teléfono cuando se accede al mismo perfil desde otro ordenador o móvil. Esto es más engorroso en el caso de que varias personas tengan que trabajar con la misma cuenta.