"Sé dónde vives": los veinteañeros que trolean en internet a famosos españoles

Es ya casi tradición que en vacaciones los 'hackers' más jóvenes se dediquen en cuerpo y alma a tumbar todo lo que se mueva. Es su forma de aprender. Las redes sociales son terreno abonado para travesuras, que están aumentando de forma importante este verano, siendo su principal objetivo los famosos y famosillos de la tele. La mayoría de las veces secuestran la cuenta y a las pocas horas la devuelven, dando incluso algún consejo de seguridad a su víctima. Pero otras veces la cosa se pone más seria.

TE PUEDE INTERESAR

Los mejores 'hackers' de España pasan de alistarse en el ciberejército de Rajoy

Mercè Molist M. A. Méndez

"Ocurrió el 6 de julio y nunca más he recuperado la cuenta", explica Sonsoles Ónega a Teknautas, escritora y periodista de Telecinco. Un compañero la llamó aquel día para preguntarle si era ella quien estaba pidiendo datos personales a través de su cuenta de LinkedIn. "Ahí me di cuenta del alcance del pirateo", explica. Un 'hacker' se estaba haciendo pasar por ella. "No sé con cuánta gente llegó a contactar pero consiguió los móviles personales de dos compañeros de profesión", asegura.

Sonsoles intentó en vano hablar con LinkedIn porque el 'hacker' había cambiado el correo electrónico y la contraseña asociados a su cuenta: "Tardaron 5 días en ponerse en contacto conmigo a través de la agencia de comunicación que les representa en España, arreglaron el destrozo y me invitaron a restaurar la cuenta, pero no lo he hecho, me parece que la seguridad está por encima de todo y no han estado a la altura".

El 'hacker' contactó después con ella por Mensaje Directo (DM) en Twitter y la instó a cambiar su contraseña de LinkedIn porque "era demasiado sencilla; también te recomiendo usar diferentes contraseñas en todo tipo de redes sociales para evitar un múltiple comprometimiento de cuentas". Acto seguido la bloqueó, en previsión de una respuesta enfadada de Sonsoles.

"¿Enfadada? Un poco, pero me enfadé más con la red social, son ellos los que tienen que dar una respuesta rápida", afirma la periodista, quien fue a denunciarlo y aquí se encontró con otro escollo: "El mecanismo de denuncia en las webs de la Policía y Guardia Civil tiene que ser más sencillo y estar visible en sus respectivas páginas web". Tras la experiencia explica: "He sido consciente de lo vulnerables que somos y que de hay que cumplir todos los pasos que las redes te sugieren para reforzar seguridad". En cuando a LinkedIn, dice, "me han devuelto la cuenta pero he decidido prescindir de ella".

Te sientes frágil, temes que abusen de tu imagen, que que manden en tu nombre material de contenido sexual

Sonsoles no olvidará jamás el robo de su identidad. "Te sientes frágil, temes que abusen de tu imagen, se te pasan por la cabeza todo tipo de horrores, desde que manden en tu nombre material de contenido sexual, hasta que puedan amenazar o insultar; de repente dejas de controlar tu identidad, es una sensación extraña: alguien está siendo tú en un mundo virtual que en absoluto controlas".

Sonsoles no es ni será la única. Este verano se están viviendo más hackeos a famosos que nunca en las redes sociales españolas. La lista crece día a día: el humorista Dani Mateo, el cocinero Jordi Cruz, la presentadora Nuria Marín, la televisiva Daniela Blume o la 'tronista' Clàudia Martínez han sido engañados con mails que simulaban proceder de una red social y les pedían su contraseña. O bien porque utilizaban la misma contraseña en diferentes sitios.

Esto es justo lo que le sucedió a Sonsoles Ónega. Tazu, el 'hacker' que la atacó, había comprado en el mercado negro nombres y contraseñas robados de otros servicios en la web. Entre ellos había una contraseña que Ónega usaba en uno de estos servicios. Tazu cotejó si la usaba también en su cuenta de Linkedin y bingo. Después, explica el 'hacker', intentó "un ataque de ingeniería social masivamente entre sus contactos y conseguí una cuenta verificada en Twitter, cuyo valor es incalculable en el mercado negro".

Tazu no desvela su edad pero afirma a preguntas de Teknautas llevar en el "hacking, hacking" unos dos años. Se le atribuye también, aunque no está muy claro, el asalto a las cuentas en Instagram y Facebook del humorista Dani Mateo, el 7 de junio. Mateo también tenía la misma contraseña en cuentas diferentes. Además, el 'hacker' consiguió su número de teléfono y le mandó un Whatsapp, simulando proceder de Facebook y pidiéndole su contraseña en esta red social.

"Después de conseguir acceso a sus cuentas, tuve que hacerle otra ingeniería social porque tenía verificación de dos pasos con el número de teléfono, y lo más increíble es que sí, coló mi ingeniería y tuve acceso a ambas redes sociales", explica Tazu a este diario. Desde la cuenta Instagram de Dani Mateo, emitió un "talk-show" en directo ayudado por algunos amigos durante una hora, hasta que la cuenta fue suspendida.

El humorista no se lo tomó con humor, explica el hacker: "Me amenazó vía un amigo, así que contacté con él vía WhatsApp pidiéndole unas "disculpas" mínimas, ya que hice todo esto por risas". Tazu asegura que había conseguido también acceso a las cuentas de Mateo en Netflix, Amazon, Uber, Cabify y Apple, donde vio la dirección de su casa o su tarjeta de crédito. Sabía dónde vivía, pero no quiso ir más allá.

En el otro extremo de la balanza está la historia de la seductora Daniela Blume, quien acabó haciéndose amiga de los 'hackers' que asaltaron su Instagram el 10 de junio. Daniela hizo incluso un vídeo (debajo) donde explica, entre risas, el suceso. "No tenía nada que esconder así que no estaba preocupada; vieron mi actitud, cómo me lo tomaba, les gustó y estuvimos un rato hablando", recuerda Daniela a Teknautas. "Les quiero mucho, hablamos ahora por las redes, nos seguimos, me comentan, también veo las broncas que hay entre grupos por ver quién es mejor hacker", se ríe.

El grupo que hackeó a Daniela se llama 'Fuck Society' y este verano lleva un ranking impresionante de asaltos a redes sociales de gente que sale en televisión. Son cuatro adolescentes que rondan los 16 años: @ofwgmenik, @4n0n1m4t0_, @_0xm41ly y @ak47violence. ¿Por qué lo hacen? "Para demostrar que la seguridad no existe y la sociedad es una basura", afirma Menik a este diario.

A Daniela Blume la 'hackearon' mandándole un mail que simulaba proceder de Instagram y la avisaba de que debía verificar su contraseña o perdería los datos de la cuenta. Daniela ya había recibido intentos parecidos e iba con cuidado, pero esta vez cayó: "Me di cuenta enseguida de que me había equivocado, fui a cambiar la contraseña cuando él ya la estaba cambiando, intenté restaurarla pero él fue más rápido", explica. Al final consiguió recuperar la cuenta ella sola, afirma: "Investigué un poco y vi que al tener una cuenta verificada podía cambiar la dirección de mail".

A partir de aquí, Fuck Society inició una auténtica maratón que les ha llevado a 'hackear', en poco más de un mes, las cuentas de Twitter y/o Instagram de Clàudia Martínez, tronista del programa "Mujeres y hombres" en Telecinco; José Ortiz, de la discográfica Flow Records; Chaxi Xira, también concursante de "Mujeres y Hombres"; la cantante Mirela; el coreógrafo Rafa Méndez; la colaboradora de 'El Hormiguero' Patricia Montero; la cantante La Zowi; la youtuber Sara Baceiredo; el cocinero Jordi Cruz; y la presentadora de "Mad in Spain", Núria Marín.

"Estos 'hackeos' estan siendo "for fun", pronto volveré a hacer cosas serias con mi otro grupo, Square Root", explica Menik. Esas "cosas serias" consisten en analizar la seguridad de webs de gobiernos y empresas a la búsqueda de agujeros, pero no para meterse por ellos sino para avisar de su existencia. Menik estudia 4º de ESO pero, dice, "no saco buenas notas porque no soy el típico que se pasa el día estudiando, yo estudio ciberseguridad como autodidacta, leyendo PDFs, viendo videos..., empecé en el 'hacking' serio hace un año".

Ahora bien, si hay alguien experto en el 'hackeo' a famosos en España, estos son SpainSquad, grupo nacido en 2015 y con edades comprendidas entre los 18 y 25 años. Una de sus aficiones es comprobar la seguridad de cuentas de youtubers. Aseguran haber 'hackeado' a medio centenar, algunos tan conocidos como MangelRogel, Alexby11 o Staxx. Pero el más famoso, sin duda, fue ElRubius: "Un grupo de hackers vulneró su cuenta, nos enteramos y decidimos meternos, a los dos minutos ya habíamos ganado acceso a la cuenta de Rubén y le proporcionamos una lección básica de seguridad", explican a Teknautas. ElRubius se lo agradeció públicamente.

El caso de ElRubius fue excepcional porque normalmente son SpainSquad quienes realizan el 'hackeo': "Cuando encontramos a gente influyente en las redes la investigamos y, si todos estamos de acuerdo, ese mismo día se cumple con el objetivo", explican. Consiguen no solo el control de las cuentas en redes sociales de la víctima sino incluso información privada, como el DNI o números de tarjeta. "No guardamos la información obtenida y al instante contactamos con dicha persona", explican.

No solo informan a la víctima sino que además le explican los fallos que ha cometido y cómo hacer que no vuelva a pasar

Solían notificar el 'hackeo' a las víctimas "en forma de shock", dicen, haciéndolo público en Twitter. Pero ahora lo hacen por privado. Y no solo informan a la víctima sino que además le explican los fallos que ha cometido y cómo hacer que no vuelva a pasar: "Le explicamos que por ayudarle no vamos a pedirle un solo céntimo y que pueden contactarnos siempre que quieran", aseguran.

Aunque siempre hay quien se enfada y amenaza con denunciar, cada vez más "youtubers" conocen a Spain Squad y, dicen, "ya no se enfadan porque saben que no vamos a hacer nada con la información". Incluso hay quien les pide que compruebe su seguridad.

SpainSquad son @ZiterSec, @StrikeREAD, @WinstoxX, @AkmaTheGod y @x066f332. Otra de sus aficiones es comprobar la seguridad de empresas y avisarlas si encuentran algún fallo. Su mayor hazaña se dio en septiembre de 2016, cuando descubrieron una vulnerabilidad desconocida que permitía reactivar cuentas suspendidas en Twitter.

La mayoría de estos grupos actúan con relativa impunidad, no esconden sus acciones sino que las publicitan e incluso algunos de sus miembros practican una seguridad operacional bastante laxa, motivada porque no ha habido hasta ahora detenciones en esta "escena". Los analistas de ElevenPaths Yaiza Rubio y Félix Brezo consideran que sería fácil atrapar a estos 'hackers' si no usan herramientas para el anonimato, pues "las redes sociales almacenan el comportamiento de sus usuarios, así que la actividad de un tercero también queda registrada", explican a este diario.

Rubio y Brezo dan una charla el 28 de julio en la convención Defcon, en Las Vegas, sobre ataques de 'phishing', el principal método para el robo de cuentas en redes sociales, y cómo realizarlos desde un total anonimato. Según Rubio, "este tipo de ataques cada vez tienen menos sentido porque las redes sociales implementan más medidas de seguridad, si bien es cierto que no vienen por defecto y su activación recae en el usuario". En cuanto a las motivaciones de los atacantes, la analista lo tiene claro: "Están relacionadas con la notoriedad y la venta de información personal a terceros".

Cómo evitar que te 'hackeen'

El robo de identidad es el delito que más crece en el mundo y en España y ya hay sentencias relacionadas con el mismo en redes sociales. En 2015, el Juzgado de lo Penal de Santander dictó dos años de prisión y multa de 2.700 euros a un joven de 22 años que usó la contraseña de un menor para suplentar su identidad en Tuenti. Para evitar que nos pase algo parecido, son importantes estos consejos:

1. Utilizar contraseñas fuertes y activar la autenticación de doble factor, que a día de hoy ofrecen las principales redes sociales.

2. Desconfiar de mensajes de correo electrónico, SMS o WhatsApp que nos manden en nombre de una red social y, si incluyen la dirección de una web a la que debemos acudir para introducir la contraseña, no ir jamás. Entrar a la red por donde entramos siempre y comprobar si hay realmente algún problema.

3. Si la red lo permite, especificar en la configuración de la cuenta que queremos que nos avisen si alguien intenta cambiar la contraseña o cuenta de correo asociada.

4. Si sospechamos que alguien ha tomado el control de nuestra cuenta, cambiar rápidamente la contraseña y revocar el acceso a todas las aplicaciones que no nos suenen. Más información para Twitter, Facebook e Instagram.