Cuentas X de usuarios de cripto comprometidas por campaña de phishing que evade 2FA

Resumen ejecutivo

Una nueva campaña de phishing está atacando a los usuarios de criptomonedas en X (anteriormente Twitter), eludiendo la autenticación de dos factores a través de solicitudes de autorización de aplicaciones disfrazadas, lo que lleva a la toma de control total de las cuentas utilizadas para promover esquemas fraudulentos.

El evento en detalle

Según un informe del 25 de septiembre de 2025, una campaña de phishing avanzada está comprometiendo activamente las cuentas de X dentro de la comunidad cripto al explotar una vulnerabilidad en el sistema de autorización de aplicaciones de la plataforma. El ataque comienza con mensajes directos que contienen enlaces que utilizan la suplantación de metadatos para aparecer visualmente como dominios legítimos, como calendar.google.com. Sin embargo, estos enlaces redirigen a sitios maliciosos, ejemplificados por x(.)ca-lendar(.)com. Al interactuar, los usuarios son conducidos encubiertamente a una página que ejecuta código malicioso antes de que se les presente una solicitud de autorización de aplicación. Un programa de phishing, a menudo disfrazado con caracteres cirílicos para imitar una aplicación de "Google Calendar", solicita permisos extensos para acceder a la cuenta X del usuario, incluidas capacidades como seguir/dejar de seguir, actualizar perfiles y crear/eliminar publicaciones. Si se otorgan estos permisos, los atacantes obtienen el control total, eludiendo directamente las contraseñas tradicionales y la 2FA, logrando la toma de control inmediata de la cuenta sin detección inicial. Las cuentas comprometidas se utilizan posteriormente para difundir esquemas fraudulentos de criptomonedas, lo que puede resultar en pérdidas financieras para los seguidores. Se recomienda a los usuarios que visiten su página de aplicaciones conectadas a X para revisar y revocar cualquier autorización sospechosa de la aplicación "Calendario" para mitigar el riesgo.

Implicaciones en el mercado

Esta sofisticada técnica de phishing presenta una amenaza significativa para la seguridad y la confianza dentro del ecosistema Web3. La elusión directa de la 2FA, una piedra angular de la seguridad digital, significa una escalada en las ciberamenazas más allá del simple robo de credenciales. Este desarrollo puede requerir que X mejore sus protocolos de seguridad de autorización de aplicaciones e insta a la comunidad de criptomonedas en general a adoptar prácticas de seguridad multiplataforma más estrictas. El impacto financiero de tales campañas es sustancial; para agosto de 2025, Scam Sniffer informó más de $12 millones robados a más de 15,000 víctimas a través de diversas estafas de phishing. La focalización en cuentas influyentes amplifica el alcance de los esquemas engañosos, lo que podría afectar el sentimiento del mercado y provocar pérdidas financieras más amplias para los inversores desprevenidos. La naturaleza continua de estos ataques subraya la necesidad crítica de vigilancia continua y medidas de seguridad adaptativas.

Comentarios de expertos

El desarrollador de criptomonedas Zak Cole destacó la gravedad de la situación, caracterizándola como "toma de control total de la cuenta sin detección", enfatizando el sigilo y la eficacia del ataque. El investigador de seguridad de MetaMask, Ohm Shah, confirmó la presencia activa de la campaña, señalando su observación "en la naturaleza". Shah aclaró que este ataque se desvía del phishing convencional, ya que no implica páginas de inicio de sesión falsas ni robo de contraseñas, sino que explota directamente el soporte de aplicaciones de X para obtener acceso a la cuenta. Cole también identificó una inconsistencia operativa: la vista previa falsificada de Google Calendar redirige a calendly.com al otorgar permisos, una anomalía que podría servir como señal de advertencia para los usuarios atentos.

Contexto más amplio

Esta campaña se integra en un patrón más amplio de ciberataques crecientes dirigidos a la industria de las criptomonedas a través de plataformas de redes sociales. Los secuestros de cuentas de alto perfil se han convertido en una estrategia prevalente para los atacantes, aprovechando cuentas comprometidas para difundir enlaces fraudulentos y promover sorteos de tokens engañosos a una audiencia grande y a menudo confiada. Los incidentes a lo largo de 2024 y 2025 incluyen el compromiso de cuentas pertenecientes a un periodista de WIRED, NBA, NASCAR, Linus Tech Tips y el cofundador de Ethereum, Vitalik Buterin, todos explotados para difundir estafas relacionadas con criptomonedas. A mediados de 2025, las pérdidas totales por phishing y fraude relacionados con criptomonedas superaron los $2.1 mil millones a nivel mundial. El creciente enfoque en la ingeniería social y el elemento humano, en lugar de las vulnerabilidades puramente técnicas, subraya la naturaleza evolutiva de estas amenazas. Esta tendencia destaca el desafío continuo para las personas y las plataformas de asegurar los activos digitales contra tácticas ciberdelictivas sofisticadas y adaptativas.