Hace unos días, nos hacíamos eco de cómo unos hackers habían alterado durante varias horas la web de LEGO para usarla con el fin de difundir una criptoestafa (y es que colarse en webs y cuentas legítimas parece el único modo de que la gente se interese por estas cosas tras el fin de la 'fiebre cripto').
Hoy, un gran número de cuentas corporativas hispanohablantes con hasta medio millón de seguidores (revistas como Esquire, servicios como Cabify Chile, medios digitales, universidades, hoteles, ONGs, etc.) han difundido en la red social X (y en Instagram) publicidad de otra criptoestafa diferente.
Concretamente, una promoción de un 'airdrop' (distribución gratuita de tokens) promocional por Halloween supuestamente llevado a cabo por la criptoplataforma legítima TrustPad, y animan a las personas a reclamar su parte antes de que desaparezcan.
Sin embargo, la URL no conduce a la web de 'TrustPad', sino a la de 'TrustPda" (sutil diferencia):
Publicación ya borrada.
¿Y qué es TrustPda?
Trustpda.io se presenta como una plataforma para la recaudación de fondos en proyectos basados en criptomonedas, operando supuestamente bajo el modelo de una plataforma de lanzamiento de IDO (Initial DEX Offering), que permiten a los proyectos de criptomonedas recaudar fondos directamente de inversores minoristas.
Sin embargo, en este caso concreto, varias fuentes especializadas señalan a Trustpda.io como una estafa, basándose en varios factores, como el hecho de ocultar la identidad de sus propietarios o de estar vinculado a una red de dominios utilizados en actividades fraudulentas.
Por supuesto, el hecho de que necesiten promocionarse hackeando cuentas ajenas y haciéndose pasar por otras plataformas ya lo dice todo sobre su legitimidad.
¿Y cómo ha llegado esta publicidad a esas cuentas de X?
Hay algo que todas estas cuentas de X tienen en común, y es que usaban la herramienta Metricool para programar sus publicaciones en redes. Metricool es una herramienta fundada en España dedicada a la gestión y análisis de cuentas en redes sociales y campañas publicitarias, que permite, entre otras cosas, programar publicaciones y monitorizar el rendimiento de las mismas.
La compañía se ha visto obligada a avisar de que estaban sufriendo "una incidencia", durante la cual se había "decidido pausar temporalmente el planificador [...] para minimizar el alcance". Pocas horas después, anunciaban haber solucionado los problemas. En X, ampliaban la información y advertían de lo siguiente:
"Acabamos de detectar una posible vulnerabilidad de nuestra API que afecta al planificador".
Casualidades
Quizá sea una casualidad, quizá no, pero mientras ocurría todo esto, la cuenta de difusión de ofertas de empleo en remoto RemotoJob se hacía eco de una vacante de 'Ingeniero de Seguridad' en Metricool. "Murphy siempre está al acecho", aclaraba la cuenta corporativa de Metricool:
Ver 0 comentarios