Una red internacional de fraude digital, vinculada a infraestructura técnica de Europa del Este, está utilizando la red social X (antes Twitter) para distribuir —al menos— 381 sitios web falsos disfrazados de medios de comunicación utilizando como gancho las imágenes de Arturo Zaldívar y Galilea Montijo en México, así como de otras personalidades a nivel global.
En los últimos días, estas páginas han aparecido como anuncios pagados dirigidos a usuarios mexicanos, con titulares falsos que simulan escándalos revelados en vivo; sin embargo, la intención es recolectar datos de las víctimas potenciales para ligarlos a un potencial fraude de criptomonedas.
Las personas que hacen clic, son ligadas a plataformas de inversión apócrifas como Immediate Luminary, donde se recolectan datos personales y números telefónicos para inducir depósitos económicos a esquemas de enriquecimiento rápido.
Clonan a medios como “El Universal” y manipulan a figuras públicas
De acuerdo con una investigación de Publimetro México, las páginas operan desde dominios como `wowowaudio.com`, `wuaze.com`, `kesug.com` o `superialworks.com`, en donde replican el diseño visual de medios como El Universal, Detik News o incluso Kathimerini, uno de los principales diarios de Grecia. Los titulares, siempre alarmistas, varían según el país y la figura que utilizan como señuelo:
- “El Banco de México demanda a Arturo Zaldívar por lo que dijo en vivo”
- “Autoridades retiran entrevista de Galilea Montijo tras revelación inesperada”
- “Banco de Indonesia demanda a Raffi Ahmad por lo que reveló en televisión”
En todos los casos, el contenido simula una noticia real, pero redirige al usuario hacia una plataforma de “inversión automática” que promete ganancias rápidas a partir de un depósito inicial de entre 4,000 y 5,000 pesos mexicanos.
El mecanismo: redirecciones ocultas y subdominios rotativos
El fraude no utiliza solo un dominio, sino centenares de subdominios creados dentro de plataformas aparentemente inofensivas, como `kathlarnli.kesug.com` o `heleacorp.wuaze.com`. Estos subdominios son parte de una red montada sobre un servidor IP común: `31.22.4.234`, alojado en Newcastle, Reino Unido, y vinculado a más de 380 dominios distintos registrados vía Namecheap y NameSilo.
El código fuente de estos sitios revela una técnica de ocultamiento mediante la etiqueta `<base href>`, lo que permite cargar el contenido desde un segundo dominio matriz (como `wowowaudio.com`) mientras el usuario solo ve el subdominio en su navegador. Esto dificulta el rastreo de los verdaderos responsables y evade filtros automáticos de seguridad.
Anuncios pagados y cuentas verificadas en X
El contenido fraudulento está siendo difundido a través de anuncios pagados en X, presentados como publicaciones “sugeridas” en el feed de usuarios mexicanos. Las cuentas que los publican —con nombres como “Tijn”, “Lizet Chinchilla” o “Riley Quinn”— están verificadas con el check azul y no muestran actividad pública en su perfil, lo que indica que solo se utilizan para campañas de pago segmentadas y pueden tratarse de cuentas inactivas que fueron hackeadas.
X, a diferencia de Meta o Google, no cuenta con una biblioteca pública de anuncios ni transparencia sobre el historial de campañas. Por lo tanto, una vez que un anuncio deja de circular, no puede ser rastreado o denunciado por otros usuarios, lo cual facilita el encubrimiento de este tipo de operaciones.
El código delata su origen: comentarios en ruso y arquitectura clonada
La revisión técnica del HTML de los sitios revela comentarios internos escritos en ruso, como `<!--Вставка иконки и низ содержимого-->`, que traducido significa “Inserción del ícono y parte inferior del contenido”. Esto sugiere que las plantillas fueron desarrolladas por grupos o individuos de habla rusa, como suele ocurrir con kits de phishing o scam kits vendidos en foros clandestinos de Europa del Este.
Además, el sistema de recolección de datos incluye formularios de registro donde se piden nombre, correo electrónico y número de teléfono móvil, con selección automática del prefijo nacional (+52 en el caso de México). Todo apunta a una estructura diseñada para entregar los datos capturados a operadores que presionan a víctimas para realizar depósitos bajo la promesa de duplicar su inversión.
Casos similares en otros países
Esta campaña no es exclusiva de México. Se han detectado versiones del mismo contenido utilizando a personalidades de Indonesia (Raffi Ahmad) y Grecia (Stamatina Tsimtsili), replicando la misma estructura técnica y narrativa. Los dominios utilizados en cada país rotan con frecuencia y mantienen el mismo patrón de servidores, diseño y plataforma de captura.
En todos los casos, los anuncios se presentan con el mismo estilo sensacionalista: “Lo dijo en vivo y ya no hay marcha atrás”, “Esto arruinó su carrera pero lo dijo”, o “Las autoridades están furiosas con lo que confesó”.
¿Qué hacer si viste uno de estos anuncios?
- No ingreses tus datos personales. Aunque parezca un medio legítimo, verifica siempre la URL y busca fuentes oficiales.
- Reporta la cuenta y el enlace. Desde X puedes reportar tanto la cuenta como el tuit promocionado.
- Consulta con Profeco, Condusef o la Policía Cibernética si sospechas que fuiste víctima.
- Verifica las alertas en sitios como Virustotal o ScamAdviser para conocer el nivel de riesgo de cualquier dominio.
