En un nuevo episodio alarmante dedicado a la seguridad en redes sociales y criptomonedas, la reconocida plataforma informativa New York Post ha sido víctima de un ataque cibernético que comprometió su cuenta oficial en la red social X, anteriormente conocida como Twitter. Este incidente ha puesto en alerta a la comunidad cripto, que ha reportado la recepción de mensajes directos fraudulentos supuestamente enviados desde la cuenta del medio, invitando a los usuarios a entrevistas falsas con el objetivo de estafar mediante engaños sofisticados. El ataque fue descubierto a principios de mayo de 2025, cuando varios miembros de la comunidad cripto reportaron haber recibido mensajes dudosos provenientes de la cuenta oficial del New York Post en X. En ellos, se ofrecía la supuesta oportunidad de participar en un podcast, pero la comunicación finalmente invitaba a las víctimas a continuar la interacción a través de la plataforma de mensajería Telegram, conocida por su cifrado y menor capacidad de rastreo por parte de los usuarios o autoridades. Alex Katz, fundador y CEO de Kerberus, fue uno de los primeros en revelar públicamente esta irregularidad, compartiendo pruebas de un mensaje supuestamente enviado por el periodista Paul Sperry desde la cuenta oficial del New York Post.
La gravedad del incidente radica no solo en la suplantación aparente de identidad, sino en la manera en que los atacantes evitaron los métodos clásicos de fraude, como la publicación de enlaces de estafa directos o la petición de transferencias mediante carteras digitales especialmentes diseñadas para drenar fondos. En un movimiento estratégico poco común, los hackers optaron por enviar mensajes directos primero y luego bloquear a sus víctimas de responder, impidiendo así que estas pudieran alertar directamente al equipo legítimo del New York Post sobre el compromiso de su cuenta. Esta táctica ha sido analizada por expertos en seguridad como una forma de mantener el control operativo el mayor tiempo posible antes de que se detecte la intrusión. Asimismo, un conocido ingeniero en ciberseguridad y coleccionista de NFT conocido como “Drew” señaló que el enfoque del ataque se aleja de las campañas masivas y se centra en técnicas de ingeniería social dirigidas a usuarios interesados en la criptomoneda. Otro aspecto relevante resaltado por Donny Clutterbuck, ligado a la plataforma de ordinals para NFT llamada Fomojis, es la posible vinculación con una vulnerabilidad en Zoom.
Según su testimonio, al habilitar audio en ciertas sesiones, un usuario podría desencadenar un pop-up que solicita permiso para activar WiFi, lo que presuntamente podría abrir una puerta a los atacantes para obtener acceso a la red del usuario. Esta asociación pone en perspectiva cómo los estafadores combinan múltiples vectores de ataque, desde redes sociales hasta servicios de videoconferencia, para aumentar sus posibilidades de éxito. La problemática no es exclusiva del New York Post. Blockchain sleuth ZachXBT ha señalado similitudes con ataques recientes protagonizados contra la cuenta X de The Defiant, otra plataforma de noticias relacionadas con cripto, donde también se enviaron mensajes directos fraudulentos con esquemas similares. Estos incidentes evidencian una tendencia creciente a comprometer cuentas oficiales verificadas para aprovechar la confianza inherente que los usuarios depositan en estas fuentes oficiales.
Dentro del contexto más amplio de la seguridad en criptomonedas, los estafadores están adoptando métodos sofisticados que se aprovechan del uso creciente de plataformas de mensajería directa y videollamadas. El auge de Zoom como un espacio para encuentros profesionales y eventos relacionados con cripto ha generado un caldo de cultivo para ataques que combinan ingeniería social con descargas de malware a través de supuestas entrevistas grabadas o reuniones. En abril de este mismo año, Jake Gallen, CEO de Emblem Vault, compartió una experiencia donde perdió más de 100,000 dólares en activos cripto después de ser contactado vía X para una entrevista por Zoom, durante la cual se le instaló un software malicioso. No es la primera vez que el New York Post experimenta problemas con sus cuentas oficiales. En 2022, un empleado infiltrado logró hackear la cuenta para publicar mensajes obscenos diseñados para parecer titulares genuinos, lo que generó confusión y dañó temporalmente la reputación del medio en redes sociales.
Sin embargo, en esta ocasión los ataques parecen más dirigidos y especializados, con un objetivo claro de defraudar a usuarios interesados en el criptomundo. La comunidad en línea y especialistas en ciberseguridad aconsejan no responder a mensajes directos de cuentas oficiales, incluso si parecen legítimos, y evitar cambiar canales de comunicación hacia aplicaciones menos reguladas o con cifrado irrestricto, como Telegram, sin antes verificar la autenticidad a través de fuentes oficiales. Además, es fundamental mantener actualizado el software de dispositivos, aplicar medidas de doble autenticación y monitorear cualquier actividad inusual en las cuentas de redes sociales. La vulnerabilidad de plataformas populares y la sofisticación creciente de los atacantes destacan la importancia de una educación constante sobre las amenazas digitales, especialmente para aquellos que operan con activos digitales. Las estafas a través de medios sociales y herramientas de comunicación digital están evolucionando, y es esencial que usuarios, empresas y periodistas estén preparados para detectar señales de alerta y actuar con precaución.
Este incidente con el New York Post y la comunidad criptográfica pone de manifiesto que no existe entidad invulnerable y subraya la necesidad de reforzar la seguridad y la vigilancia en el ecosistema digital. Además, refleja cómo los vectores de ataque pueden combinar técnicas de ingeniería social con brechas tecnológicas para crear trampas que parecen legítimas a primera vista. En conclusión, los huéspedes maliciosos detrás de la infiltración a la cuenta de X del New York Post demostraron una habilidad avanzada para manipular la confianza de la comunidad y ejecutar ataques dirigidos sin desplegar las tácticas más evidentes de estafa. Esta situación debe servir como un llamado de atención para que los usuarios de redes sociales, especialmente aquellos involucrados en el mundo de las criptomonedas, mantengan altos estándares de precaución y verificación a la hora de interactuar con cuentas, mensajes y solicitudes inesperadas, minimizando así la posibilidad de caer en fraudes que pueden provocar pérdidas significativas.
