Qué es el spam de Twitter y su relación con el secuestro de cuentas

Spam en TwitterSe le llama spam o correo basura a todos aquellos mensajes que recibimos de desconocidos con información que no hemos solicitado y que generalmente tienen una finalidad comercial de dudosa reputación o directamente fraudulenta. Aunque esta práctica es antigua y se popularizó con el coreo electrónico, también se da en cualquier otro medio que permita el intercambio de información entre personas. En este caso, Twitter.

Se le llama spam o correo basura a todos aquellos mensajes que recibimos de desconocidos con información que no hemos solicitado y que generalmente tienen una finalidad comercial de dudosa reputación o directamente fraudulenta

Todos los que utilizamos Twitter con cierta frecuencia hemos recibido alguna vez un mensaje directo (también conocidos como MD o DM) con textos raros escritos en inglés. Lo curioso es que proceden de usuarios, en muchos casos conocidos, que no suelen escribir en este idioma.  También nos podemos encontrar estos textos como publicaciones normales (tweets) en la cronología (timeline) del usuario. Los mensajes nos invitan normalmente a hacer clic en un enlace donde alguien habla mal de nosotros o donde se muestra un vídeo o imagen comprometida en la que aparecemos. Estos son algunos ejemplos:

    • Hey, someone is spreading nasty rumors about you [enlace] …
    • Lol your in this video [enlace] …
    • Whatt are you doing in this? [enlace]…
    • Hey someone is writing offensive posts that are about you [enlace]…

En ocasiones, estos textos se publican como un tweet más del usuario. Por otro lado, los textos van cambiando y van abarcando temas diversos, siempre encaminados a procurar que el usuario haga clic sobre el enlace. Estos son otros ejemplos:

    • My profile was viewed 715 times JUST TODAY! Click here to see how many views you got! [enlace]…
    • Earn yourself a few hundred extra bucks per day working part-time from home [enlace]…
    • Hey you should try this out, worked great for me, good way to boost energy and lost a few pounds [enlace]…
    • Hilarious pic! [enlace]…

Desde Twitter se envía spam de dos formas:

  • Desde cuentas virtuales creadas por el propio pirata o hacker para este fin.
  • Desde cuentas ajenas de usuarios normales que son previamente secuestradas.

El secuestro de cuentas de Twitter supone que el pirata se hace con la clave del usuario y le envía spam a todos sus seguidores. Este último spam es más efectivo para el pirata porque el mensaje le llega al destinatario desde alguien conocido en quien confía.

El secuestro de cuentas de Twitter supone que el pirata se hace con la clave del usuario y le envía spam a todos sus seguidores

En cualquier caso, hay algo evidente, en general, nadie va a dedicar tiempo a identificar las cosas que se dicen sobre nosotros. Por otro lado, si algún conocido casualmente descubre alguna, por qué nos iba a escribir en inglés o, si alguien conoce la forma de hacerse millonario, ¿por qué iba a compartirlo?

Como el spam es perseguido activamente por Twitter, generalmente suelen llegar por oleadas. Conforme Twitter va identificando prácticas deshonestas, los piratas van desarrollando otras nuevas.

A dónde nos llevan estos enlaces

Si se hace clic en el enlace nos encontramos con páginas webs que intentan engañarnos para instalar un software malicioso en nuestro ordenador, conseguir datos personales (entre los que podría estar los datos de la tarjeta de crédito) o vendernos productos o servicios dudosos (dietas milagrosas, cómo hacerse rico en dos días, etc.). En ocasiones, simplemente buscan conseguir un ‘Me gusta’ en un perfil de Facebook o dirigirnos a una web por los que, posiblemente, el pirata consigue una comisión.

Por cierto, sea como fuere, no hay que subestimar la habilidad de los piratas para el engaño. Hasta los usuarios más experimentados, bajo determinadas circunstancias, pueden acabar haciendo clic donde no deben. Por tanto, si es su caso, no hay nada de qué avergonzarse.

Lo cierto es que los mensajes se envían desde cuentas de usuarios normales que son ajenos a todo este asunto, hasta que alguien se lo dice. Cuando esto ocurre, tomas las medidas oportunas (que se indican a continuación) y corrige el problema. Por tanto, el pirata necesita seguir capturando nuevas cuentas desde las que continuar con su actividad.

Para capturar nuevas cuentas suelen incluir enlaces con algún tipo de engaño que les permita hacerse con nuestros nombres de usuario y clave o con algún otro tipo de acceso a nuestra cuenta. Por ejemplo, es común que presenten una página con una estética idéntica a la de Twitter.com informándonos que se ha perdido la conexión y que, para continuar, es necesario que introduzcamos de nuevo el nombre de usuario y clave. Si nos fijamos, la URL de esta página web fraudulenta es similar a Twitter.com, pero no es exactamente la misma. Por ejemplo, pueden ser del tipo Tvvitter, Twiter, eTwitter o similar. Esta técnica se conoce como phishing, de la que tanto se ha hablado en relación con la captura de cuentas bancarias.

Por tanto, los enlaces que acompañan al texto pueden ser de dos tipos:

  • Los que buscan conseguir que se visiten determinadas páginas web. La inmensa mayoría de los usuarios no caen en el engaño, por lo que para conseguir sus objetivos necesitan que las visitas sean masivas (miles o cientos de miles). Con engañar a uno de cada mil, ya tienen más que suficiente.
  • Los que buscan controlar nuevas cuentas de Twitter. Desde cada cuenta de Twitter que logran controlar consiguen enviar un número limitado de mensajes directos, lo que limita su potencial de visitas. Generalmente, el usuario pirateado se da cuenta de los envío y acaba tomando medidas. Por tanto, para seguir consiguiendo visitas necesitan nuevas cuentas desde las que seguir enviando mensajes directos de spam.

Algo que favorece este tipo de acciones es el hecho de que en Twitter se utilizan habitualmente acotadores de direcciones URL (tipo bit.ly, t.co o goo.gl). Estas direcciones tan cortas no permiten hacerse una idea del destino real del enlace antes de hace clic sobre él. No obstante, las empresas de los acortadores son conscientes de este hecho, por lo que mantienen una lista negra de destinos deshonestos. Cuando hacemos clic sobre alguno de ellos, no nos dirigen directamente al destino, sino que nos advierten del peligro. El inconveniente es que esto también lo saben los piratas, por lo que van cambiando de URL conforme las van identificando como peligrosas.

Mensajes de advertencia de spam en Twitter

Quiénes son los perjudicados

El resultado de todo esto es que cada minuto se envía miles de mensajes directos deshonestos con dos claros perjudicados:

  • El usuario que recibe el spam. No sólo le puede ser molesto recibir mensajes directos sin interés real, sino que, se ve expuesto a las trampas que incluyen algunos de estos mensajes para lograr controlar su cuenta y enviar mensajes directos spam desde ella. Vea qué hacer en caso de recibir spam en su cuenta de Twitter.
  • El usuario de la cuenta desde donde se envía el spam. De pronto, su cuenta empieza en enviar mensajes directos de forma masiva (afortunadamente, Twitter tiene el límite de 250 mensajes directos por día). Esto tiene varias repercusiones:
    • Muchos de los que reciben el spam, simplemente, dejan de seguir la cuenta para frenar los mensajes directos. Como sabemos, los mensajes directos sólo pueden ser enviados del usuario seguido al seguidor. Por tanto, se pierde un seguidor.
    • Hay usuarios que, alarmados, directamente denuncian la cuenta a Twitter por generar spam. Esto bloquea la relación entre ambas cuentas y, aunque no cancela la cuenta automáticamente, Twitter toma nota de la denuncia.
    • Si no se resuelve el problema a tiempo, Twitter puede llegar a bloquear la cuenta emisora de spam, con el consecuente perjuicio personal o profesional.

Vea qué hacer en caso de enviarse spam desde su cuenta de Twitter.

El usuario que envía el spam puede ser más víctima que el que lo recibe.

Las aplicaciones de terceros

Como se puede suponer, los piratas que realizan este tipo de técnicas no envían manualmente cada uno de los mensajes directos de cada una de las cuentas que controlan. Ellos suelen utilizar cualquiera de las múltiples aplicaciones o herramientas que existen alrededor de Twitter, fundamentalmente aquellas que permiten el envío automático de mensajes directos.

Revocar acceso a aplicaciones de TwitterTwitter cuenta con muchas aplicaciones de este tipo que son de gran interés para los usuarios normales de Twitter y suelen facilitarnos el uso honesto de la red. Estas aplicaciones las realizan terceros, ajenos a Twitter, y es el propio usuario quien autoriza la conexión con su cuenta la primera vez que hace uso de ellas. Si entramos en Twitter.com, y hacemos clic en Configuración (icono de la rueda dentada que aparece arriba a la derecha) y en la opción Aplicaciones podremos ver el listado de aplicaciones de terceros que cuentan con autorización para acceder a nuestra cuenta de usuario. En cualquier momento podemos eliminar dicho acceso haciendo clic en el botón Revocar acceso. Debajo de cada aplicación aparecen los permisos que tienen cada una de las aplicaciones (por ejemplo, leer, escribir y enviar mensajes directos). Como se puede imaginar, merecen especial atención aquellas aplicaciones que tienen permitido el envío de mensajes directos, ya que, si el pirata controla nuestro acceso a esa aplicación, puede configurarla para que envíen su mensaje fraudulento.

Twitter suele vigilar de cerca las aplicaciones de terceros para identificar su riesgo potencial y bloquearlo. Por ejemplo, quiere estar seguro que quien ha desarrollado la aplicación no tiene intenciones deshonestas o que, aun siendo un autor legal, no incluye utilidades que faciliten un uso ilegítimo. Evidentemente, esto no evita el riesgo, ya que muchas herramientas muy útiles para el uso normal lo son también para los usos deshonestos.

Twitter ya ha llevado a los tribunales a más de un spammer y desarrollador de herramientas maliciosas.

La mejor forma de combatir el spam es el conocimiento. Por ello, os animo a compartir las experiencias, textos spam, posibles daños colaterales, etc.

Más información

2 pensamientos en “Qué es el spam de Twitter y su relación con el secuestro de cuentas

  1. Como se puede un usuario de twiteer que publico una foto personal que ofende y puede causar problemas personales ya que se niegan a quitarla aun y cuando se la robo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s