La publicidad de Twitter es un nido de estafas con famosos. Y ahora suplantan la web de RTVE (con un ingenioso truco)

Publicado el 13/03/2024 por Diario Tecnología
Artículo original

La publicidad de Twitter es un nido de estafas con famosos. Y ahora suplantan la web de RTVE (con un ingenioso truco)

Me imagino la escena: "Oye, ¿sabes que han detenido al Sobera? Lo he visto en Twitter". Y claro, en 'Twitter' (ahora X) está esperando un tuit en el que se muestra a Sobera siendo detenido (no sin antes haber dado una interesantísima entrevista). O quizá lo que muestre el tuit sea una foto del susodicho Sobera apalizado acompañado de un mensaje sugiriendo que "es el final de su carrera".

Ese es, al menos, el caso de dos tuits (publicados como anuncios, ojo al 'Ad' de la esquina superior derecha) que nos ha hecho llegar una lectora de Genbeta. En ambos casos, la poca información que nos transmite es chocante, y en ambos también, tenemos la ocasión de clicar sobre la imagen/enlace que, como muestra la esquina inferior izquierda, nos conduce a la web RTVE.es. O eso dice.

Tuitssobera

¿Qué Broncano ha dicho qué?

"Bueno, parece que la fuente de información es fiable, entonces". De modo que clicamos, se nos abre la web de RTVE y ahí podemos leer la extensa entrevista en cuestión, en realidad, una supuesta transcripción de la conversación entre Carlos Sobera y el presentador David Broncano:

"David Broncano cuestionó la veracidad de las palabras de Carlos Sobera, llamándolo mentiroso ante miles de espectadores en directo. En respuesta al incidente, la directiva del canal de televisión decidió retirar la entrevista de la emisión".

Lo que viene después de eso es una delirante conversación en la que Broncano trata de monstruo a Sobera por estar ganando dinero a espuertas con una app de 'inversiones cripto' que puede "dañar al Estado" mientras se queja de que él (Broncano) tiene que sufrir todos los días para "alimentar a mi familia". Y a pesar de que el artículo está lleno de fotos, no hay ni un solo vídeo que permita verificar la veracidad de la transcripción.

Eso sí, uno de los pocos enlaces incluidos en el texto es el que nos permite registrarnos (oh, casualidad) en la web de esa app milagrosa:

Fraudeweb El contador superior de "Las inscripciones se cerrarán en breve" siempre está a 20 minutos, te conectes cuando te conectes.

A estas alturas, queda claro que estamos ante una de las múltiples estafas que tanto auge han tenido en los últimos meses en X/Twitter (tanto como para causar una investigación por parte de la CNMC), en las que la Policía se dedica a detener a solidarios famosos que sólo quieren que todos seamos tan ricos como ellos.

El (bien pensado) truco de las redirecciones según origen de la IP

Pero ¿no estábamos leyendo todo lo anterior en la web de RTVE? Eso pensábamos cuando hicimos clic y vimos el aspecto de la web, pero no, estamos en una web cuyo dominio es 'igmatrix.com'. "No puede ser, en el tuit ponía claramente 'From RTVE.es'", pensarás. Y tendrás razón.

De hecho, si te conectaras a una VPN con IP extranjera y volvieras a hacer clic en alguno de los dos tuits fraudulentos, esta vez el navegador te conduciría a la web real de RTVE, sólo que no aparecería nada relativo a Sobera y Broncano, sino a un reportaje sobre el uso del pañuelo islámico en Irán.

Más aún: si la URL del tuit (invisible en el mismo, pero accesible mediante clic derecho y 'Copiar dirección de enlace') la compartieras en aplicaciones de mensajería que previsualizan el título, te mostraría 'RTVE' como fuente del contenido. Así:

Irani Si introduces la falsa URL, las herramientas de mensajería mostrarán esta inocente previsualización del título....

¿Qué está pasando aquí? Fácil: un mal diseño de los anuncios de Twitter, tan malo que podríamos considerarlo una vulnerabilidad, y un uso muy inteligente de las redirecciones por parte de los estafadores.

Twitter podría optar por mostrar el dominio de la URL real que introduce el anunciante, y así no habría lugar a trucos como este

Cualquier anuncio de Twitter oculta la URL que introduce el anunciante, mostrando únicamente la imagen vinculada a la misma y, en la esquina, el 'From/de' junto a la URL... a la que se nos redirige, no a la que introduce el anunciante. Pero, ¿qué pasa cuando el anunciante establece un sistema de redirecciones que discrimina por origen geográfico y sólo nos conduce a la web fraudulenta si nuestra IP es española?

Que cuando los servidores de Twitter (o de WhatsApp) comprueban a dónde nos manda el enlace, a sus ojos (con IP estadounidense, recuerda) ésta nos manda a RTVE.es. Y eso es lo que ponen en el aviso.

Conip

No es RTVE la única web que utilizan para colarnos esta clase de estafas mediante este mismo truco. Este otro anuncio dice enlazar a honestgreens.com (una cadena de restaurantes), pero en realidad nos manda a una URL con dominio 'qtchain.site'  con aspecto de web de El Mundo, y con otra famosa distinta, siendo igualmente usada para una estafa similar:

Honest2

En Genbeta | Cada vez más ciberestafas están usando la imagen de famosos españoles para engañar al usuario: de Resines a la Familia Real

-