La mañana de este 9 de junio, la cuenta oficial en X (antes Twitter) del presidente de Paraguay, Santiago Peña, fue utilizada para publicar un mensaje fraudulento anunciando la supuesta adopción de Bitcoin como moneda de curso legal. El tuit incluía un documento falso y una dirección de cartera cripto, en lo que rápidamente fue identificado como una estafa financiera tipo “giveaway”.
Aunque la publicación fue tachada como irregular por el mismo gobierno paraguayo y varios usuarios alertaron de inmediato sobre el ataque, el incidente no fue menor: ocurrió desde una cuenta verificada de un jefe de Estado, y se diseminó por toda la red con una falsa apariencia de legitimidad.
No entraron por phishing: el posible secuestro de sesión
Fuentes especializadas en ciberseguridad apuntan a que el ataque podría haber sido ejecutado mediante un método silencioso pero altamente efectivo: el secuestro de sesión a través del robo de cookies, también conocido como session hijacking.
Este tipo de intrusión no requiere romper contraseñas, ni burlar la verificación en dos pasos (2FA). Solo necesita que la víctima haya abierto, en algún momento, un archivo malicioso —como un PDF, Excel o ZIP— que incluya un malware tipo infostealer.
Una vez activo, este software malicioso escanea el navegador, extrae cookies de sesión y las envía al atacante. Desde ahí, este último puede clonar la sesión del usuario en su propio navegador, accediendo a su cuenta sin disparar ninguna alerta ni requerir credenciales.
El patrón: ocultamiento de respuestas y mensaje en inglés
Los indicios del ataque están bien documentados:
- Se publicó un tuit en inglés con hashtags como #Bitcoin y #Crypto, buscando víctimas internacionales.
- El mensaje fue acompañado por una dirección BTC (wallet) y una imagen falsa con formato oficial.
- Cientos de usuarios respondieron alertando que se trataba de un hackeo.
- Varias de esas respuestas fueron ocultadas por la cuenta @SantiPenap, una táctica frecuente cuando el atacante aún tiene control de la cuenta.
- Finalmente, la cuenta oficial de la Presidencia de Paraguay confirmó en un comunicado que hubo actividad sospechosa, y que se trabaja con CERT-PY y X para esclarecer el incidente.
¿Qué es un infostealer y por qué es tan peligroso?
Un infostealer es un tipo de malware especializado en robar información guardada en navegadores: cookies, contraseñas, formularios y sesiones activas. Herramientas como RedLine, Raccoon Stealer, Lumma o Vidar se venden en la dark web por suscripción y son fáciles de usar.
Estos programas se instalan tras abrir archivos camuflados o enlaces aparentemente inofensivos. El objetivo no es bloquear o destruir, sino robar silenciosamente y dar acceso remoto a cuentas de alto valor, como redes sociales verificadas, correos corporativos o incluso servicios bancarios.
La vulnerabilidad de las plataformas
A diferencia de servicios como Google o Microsoft, que suelen detectar cambios de IP o país para proteger sesiones, X (antes Twitter) sigue permitiendo el acceso si la cookie de sesión es válida, aunque venga desde otro continente.
Este agujero ha sido explotado para hackear cuentas verificadas de influencers, políticos, periodistas y empresas en todo el mundo. Lo de Santiago Peña podría ser solo el caso más visible en América Latina.
¿Cómo protegerse de un ataque de robo de sesión?
- No abras archivos inesperados, aunque parezcan legítimos.
- Usa un navegador exclusivo para redes sociales.
- No guardes contraseñas en tu navegador.
- Revisa tus sesiones activas periódicamente en cada plataforma.
- Utiliza antivirus y herramientas de detección de infostealers.
- Considera el uso de entornos seguros (sandbox) para revisar archivos sospechosos.
