La autenticación en dos pasos bloquea el 85 % de los ataques a cuentas de X: análisis real
Investigadores de seguridad monitorearon una operación activa de botnet dirigida a obtener credenciales en la plataforma X. En solo 12 minutos, el sistema probó más de 720.000 combinaciones de inicio de sesión, pero el 85,6 % de las cuentas permanecieron seguras gracias a la autenticación en dos pasos (2FA).
Alcance y mecanismo del ataque
La botnet utilizó credential stuffing, una técnica que automatiza el uso de pares de nombre de usuario y contraseña robados de filtraciones anteriores. En total, intentó 4,8 millones de accesos y comprometió con éxito 138 cuentas. La infraestructura abarcaba 18 servidores dentro de una subred gestionada por el proveedor turco Komuta Savunma Yuksek Teknoloji Limited Sirketi en Ankara. El panel de control, alojado en un servidor de Hetzner (144.76.57.92:5000), estaba accesible públicamente sin autenticación, lo que permitió su observación en tiempo real.
Características clave del panel de control:
- Carga de bases de datos de credenciales;
- Inicio/detención de escaneos;
- Visualización de estadísticas de brechas;
- Exportación de cuentas comprometidas;
- Acceso a contraseñas root de los 18 servidores mediante SSH.
La campaña se desplegó en oleadas desde diciembre de 2025 hasta enero de 2026, alcanzando su punto máximo el 24 de febrero de 2026. Además, el servidor principal exponía puertos RDP, SMB y WinRM — puntos de entrada comunes para movimientos laterales.
Eficacia de la 2FA en cifras
¿Cuál fue la principal barrera de defensa? La autenticación en dos pasos. La botnet solo logró tomar cuentas que no tenían 2FA activada, saltándose automáticamente las protegidas. Esto concuerda con investigaciones más amplias: una 2FA bien implementada reduce hasta en un 99 % el riesgo de credential stuffing.
Razones por las que este ataque tuvo éxito:
- Disponibilidad masiva de datos filtrados (miles de millones de credenciales en mercados de la dark web);
- Reutilización extendida de contraseñas entre usuarios;
- El 14,4 % de las cuentas atacadas no tenía activada la 2FA.
Contexto de amenaza y despliegue de infraestructura
El credential stuffing sigue evolucionando junto con el aumento de filtraciones de datos. Según el informe DBIR 2025 de Verizon, el 80 % de las violaciones implican credenciales comprometidas o débiles. Indicios como el idioma de la interfaz y nombres de servidores etiquetados como "Sunucu" apuntan a actores de amenazas regionales basados en Turquía, muchos de los cuales prefieren Hetzner por sus políticas de registro anónimo.
No se encontraron indicadores previos en VirusTotal, ThreatFox ni AbuseIPDB, lo que demuestra cómo los atacantes ahora despliegan infraestructuras "limpias" para evitar la detección. Para el sector, esto implica que plataformas como X están mejorando el monitoreo automatizado, pero la responsabilidad del usuario sigue siendo fundamental.
Conclusiones clave
- El 85,6 % de los ataques fueron detenidos por la 2FA, confirmando su papel como protección básica esencial;
- La botnet comprometió 138 cuentas de 4,8 millones de intentos por falta de seguridad multifactor;
- Un panel de administración expuesto reveló contraseñas root de 18 servidores, poniendo toda la red en riesgo;
- La actividad desde diciembre de 2025 subraya la creciente amenaza del credential stuffing;
- Se recomienda encarecidamente a los usuarios de X activar inmediatamente la 2FA para reducir su exposición.
Implicaciones y recomendaciones
Este incidente pone de manifiesto la vulnerabilidad de las cuentas sin 2FA: los atacantes siempre buscan lo más fácil. A nivel general, se observa una mayor inversión en MFA (autenticación multifactor). Las cuentas comprometidas suelen usarse en campañas de phishing o se venden en foros clandestinos.
Los expertos recomiendan:
- Activar la 2FA siempre que sea posible (aplicaciones como Google Authenticator; SMS como respaldo);
- Usar contraseñas únicas y robustas gestionadas con herramientas como Bitwarden o LastPass;
- Monitorear la exposición personal mediante servicios como Have I Been Pwned.
Casos reales como este están acelerando la adopción de la 2FA: Google informa que el uso global alcanzó el 70 % en 2025.
— Editorial Team
Aún no hay comentarios.