Alerta de Seguridad 2025: El Nuevo Ataque de Phishing en X que Burlaba la 2FA y Cómo Protegerse

In, , , , , , ,
Ayudanos a compartir esta información
Únete a nuestro Canal de Telegram

Alerta de Seguridad 2025: El Nuevo Ataque de Phishing en X que Burlaba la 2FA y Cómo Protegerse

La sofisticación de los ciberataques dirigidos al ecosistema cripto no deja de evolucionar, presentando amenazas cada vez más difíciles de detectar. En 2025, nos enfrentamos a una campaña de phishing particularmente insidiosa en la red social X (anteriormente Twitter). Lo que la hace tan peligrosa es su capacidad para eludir la autenticación de dos factores (2FA), una medida de seguridad esencial, al manipular los mecanismos de confianza de la propia plataforma para secuestrar cuentas.

Como advirtió Zak Cole, un desarrollador cripto afectado: «Detección cero. Activo ahora mismo. Toma de control total de la cuenta».

¿En Qué Consiste Exactamente Este Nuevo Ataque de Phishing?

A diferencia de los ataques de phishing tradicionales, que utilizan páginas de inicio de sesión falsas para capturar credenciales, esta campaña tiene un modus operandi más astuto. Su objetivo principal son personalidades del mundo cripto —influencers, desarrolladores y traders—, aunque investigadores confirman que se ha observado en otros sectores.

El caballo de troya en este caso es el sistema oficial de autorización de aplicaciones de terceros de X. El ataque fue inicialmente documentado por Zak Cole y posteriormente confirmado por Ohm Shah, investigador de seguridad de MetaMask, lo que indica que se trata de una campaña amplia y bien coordinada.

Así Funciona el Engaño, Paso a Paso

El ataque se desarrolla en varias etapas diseñadas para generar confianza y explotar la interfaz legítima de X.

1. El cebo inicial

Todo comienza con un Mensaje Directo (MD) que parece legítimo. En el caso de Cole, el atacante se hizo pasar por un representante de la firma de venture capital Andressen Horowitz, un señuelo creíble para alguien de su perfil.

2. La ingeniería social en la vista previa

El MD contiene un enlace. La trampa clave aquí es que X genera una vista previa mostrando el dominio legítimo `calendar.google.com`. Esto se debe a que los metadatos del sitio malicioso (registrado bajo el dominio engañoso `x.ca-lendar.com`) están manipulados para engañar al algoritmo de vista previa de la red social. El usuario ve «Google Calendar» y baja la guardia.

3. La redirección silenciosa

Al hacer clic en el enlace, un script redirige automáticamente y de forma casi instantánea a una página oficial de X, concretamente a un endpoint de autenticación de aplicaciones de terceros.

4. La solicitud de permisos maliciosa

X muestra entonces su pantalla oficial, pidiendo autorizar una aplicación llamada «Calendar». El detalle técnico crucial es que el nombre de la aplicación contiene caracteres cirílicos visualmente idénticos a los caracteres latinos. Esto crea una aplicación fraudulenta única dentro del sistema de X.

5. La concesión de acceso

Si el usuario, confiando en la interfaz oficial de X, otorga los permisos, los atacantes obtienen un token de acceso que les da control total sobre la cuenta, sin necesidad de contraseña o 2FA.

Las Señales de Alarma: Cómo Identificar Este Ataque de Phishing

A pesar de su sofisticación, el ataque presenta puntos débiles que un ojo entrenado puede identificar:

• La URL fugaz: Justo después de hacer clic y antes de la redirección a X, durante una fracción de segundo, se puede ver en la barra de direcciones del navegador el dominio real y sospechoso: `x.ca-lendar.com`.

• Los permisos excesivos: El punto más crítico. La aplicación «Calendar» solicita permisos injustificados para su función anunciada, como la capacidad de seguir o dejar de seguir cuentas, actualizar el perfil y crear o eliminar publicaciones (tweets). ¿Por qué una integración con el calendario necesitaría estos permisos? Esta es la pregunta clave que debería hacer saltar todas las alarmas.

• La inconsistencia final: Tras autorizar la aplicación, en algunos casos la redirección final conduce a `calendly.com` y no a Google Calendar. Esta incongruencia delata la estafa.

Guía de Acción: Qué Hacer Si Fuiste Víctima o Para Prevenir el Ataque

La protección y la respuesta inmediata son fundamentales. Siga estos pasos:

Revisa y revoca el acceso en X

Acceda a «Configuración y privacidad» > «Seguridad y acceso a la cuenta» > «Apps y sesiones» > «Apps conectadas». Busque y revoque inmediatamente cualquier aplicación con el nombre «Calendar» o que parezca sospechosa. Preste atención a posibles caracteres cirílicos.

Consejos de prevención a futuro

• Desconfíe de Mensajes Directos inesperados: Sea escéptico con los MD de remitentes desconocidos o inesperados, incluso si el contexto parece legítimo.

• Examine siempre los permisos: Revise detenidamente la pantalla de permisos de X antes de autorizar cualquier aplicación. Cuestionese siempre: «¿Necesita realmente esta app estos permisos para funcionar?».

• Mantenga habilitada la 2FA: Aunque este ataque en concreto la burla, la autenticación de dos factores sigue siendo una barrera esencial contra la mayoría de los otros métodos de intrusión.

• Limpieza periódica: Como práctica general de seguridad, se recomienda revocar periódicamente el acceso de cualquier aplicación que no use activamente.

Conclusión: La Vigilancia es la Nueva Contraseña

Esta campaña de phishing es un recordatorio contundente de que en 2025, las armas principales de los ciberdelincuentes son la ingeniería social y la explotación de la confianza que depositamos en las interfaces de plataformas legítimas. La seguridad digital ya no depende solo de herramientas técnicas, sino de una vigilancia constante y un escepticismo proactivo.

La batalla se libra en el momento en que decidimos hacer clic o otorgar un permiso. Comparta esta información, manténgase alerta y proteja su presencia digital.

Previous PostNext Post

Related Posts

In, , , ,

Bitcoin y la Burbuja de la Soja de los 70: ¿Se Repite la Historia?

In, , , ,

MetaMask y Phantom Lanzan una Red Global Contra Phishing: Cómo Protege a los Usuarios en 2025

In, , , , , ,

Criptomonedas en la Corriente Principal: El Impacto de la Regulación en el Uso Cotidiano