La reciente intrusión a la cuenta de X (antes Twitter) de Lorenzo Córdova, expresidente del INE, ocurrida el 1 de mayo, expuso una realidad incómoda pero urgente: hoy en día pueden hackearte sin necesidad de contraseña ni código de verificación. No se trata de un truco nuevo, sino de una práctica que va ganando terreno gracias a herramientas automatizadas y accesibles para casi cualquier delincuente digital.
Así funciona el robo de sesión por cookies
Cada vez que inicias sesión en una red social, tu navegador guarda un archivo pequeño llamado cookie de sesión. Este archivo le dice al sitio que ya estás autenticado, y evita que tengas que ingresar tu contraseña a cada rato. Sin embargo, ese archivo puede ser robado y reutilizado por otra persona para entrar a tu cuenta como si fueras tú.
No es necesario adivinar nada. Si alguien consigue tu cookie, puede importarla en su navegador —con herramientas bastante sencillas de utilizar— y acceder a tu cuenta sin activar alertas ni pedir contraseñas. Este modus operandi es conocido como cookie hijacking o secuestro de sesión.
¿Cómo se roban las cookies?
El método más común hoy en día es a través de malware especializado, conocido como infostealers. Este tipo de software se cuela en tu computadora luego de que abres un archivo aparentemente inofensivo, como un PDF, un Excel o un ZIP enviado por correo, Telegram o incluso Google Drive.
Una vez dentro, el malware hace lo siguiente:
- Escanea los navegadores instalados (Chrome, Edge, Firefox, etc.).
- Extrae todas las cookies, contraseñas guardadas y sesiones activas.
- Envía la información al servidor del atacante (a veces a un bot de Telegram, por ejemplo).
- El atacante toma esas cookies y las importa en su propio navegador para acceder a tus cuentas.
Entre los infostealers más usados están RedLine Stealer, Raccoon Stealer, Vidar, Aurora y Lumma. Algunos se venden por suscripciones mensuales que van desde 100 hasta 300 dólares, y ofrecen interfaces tipo “panel de control” donde el criminal puede ver en tiempo real las víctimas, sus ubicaciones, sistemas operativos y credenciales robadas.
¿Le pasó esto a Lorenzo Córdova?
Aunque no hay confirmación oficial, todo indica que fue un robo de sesión, ya que es la técnica más utilizada en la actualidad. Su cuenta fue utilizada para publicar contenido no autorizado, posiblemente relacionado con criptoestafas.
No se reportó filtración de contraseñas ni señales de phishing clásico. Casos similares han ocurrido con figuras como Vitalik Buterin (cofundador de Ethereum), Karime Pindter (influencer mexicana) y varios periodistas y activistas latinoamericanos en los últimos seis meses.
La empresa Meta también ha reconocido este tipo de ataques en Instagram, donde usuarios han perdido sus cuentas sin que hayan compartido contraseñas ni caído en phishing. En 2024, un reporte de Group-IB reveló que más de 900 millones de cookies de sesión fueron extraídas por infostealers en un solo año.
¿Por qué es tan fácil hackear cuentas de redes sociales?
Porque las plataformas siguen permitiendo el acceso mediante cookies válidas sin pedir confirmación adicional. Aunque algunas, como Google o Microsoft, ya implementan alertas cuando una sesión cambia de país o dispositivo, redes como X, Facebook o TikTok siguen siendo vulnerables a estos ataques si no detectan comportamientos inusuales.
¿Qué puedes hacer para protegerte del cookie hijacking?
No abras archivos inesperados, aunque vengan de contactos conocidos.
- Usa un navegador distinto solo para redes sociales (por ejemplo, Brave solo para Facebook).
- Activa alertas de inicio de sesión y revisa sesiones activas frecuentemente.
- No guardes contraseñas en el navegador. Usa un gestor como Bitwarden o 1Password.
- Instala antivirus que detecten infostealers, como ESET, Kaspersky o Malwarebytes.
- Si tienes que revisar archivos dudosos, hazlo en un entorno virtual o sandbox.
