Recibimos varios reportes sobre un numeroso grupo de cuentas de Twitter que dan «likes» a tweets. Descubrimos una red de pornobots de más de 6000 cuentas.
Durante los días 23 y 24 de febrero de 2021, usuarios de Twitter cercanos a la comunidad Cazadores de Fake News, reportaron estar recibiendo «likes» de un puñado de cuentas sospechosas, que se identificaban como mujeres atractivas y que posiblemente eran cuentas bot.
Investigamos las cuentas para descubrir cuál era el objetivo de la existencia de estas cuentas y cuántas similares forman parte de la operación.
Características de las pornobots
En todos los casos, las cuentas de esta botnet se identifican como mujeres atractivas. Usan nombres de mujer en español y generalmente insertan íconos en sus nombres de usuario.
Como ubicación, indican que se encuentran en «España» o «Spain«. Muchas de las cuentas, insertan la bandera de España al lado de la ubicación.
Usan fotografías que provienen de un stock limitado (se repiten fotos de avatar entre diferentes cuentas):
Sus nombres de usuario son tipo «matrícula»: formato nombre-números (ejemplo: @Victoria48655). Entre diferentes cuentas hay repetición de fotografías e, igualmente, repetición del texto de algunos tweets publicados recientemente, en especial el día 16 de febrero de 2021.
La mayoría de las cuentas fueron creadas entre el año 2010 y 2014. Entre el año 2010 y 2013, fueron creadas más de 3000 cuentas relacionadas:
Las cuentas publicaron la mayor cantidad de tweets en una campaña presente de promoción de una página pornográfica, durante los días 16 y 17 de febrero de 2021. Solamente el día 16 de febrero, la botnet publicó 60533 tweet. Después de esa fecha, varias de las cuentas han rastreado a otros usuarios de Twitter, realizando likes a sus publicaciones para llamar la atención y ganar seguimientos. Es probable que rastreen cuentas de usuario de forma automática, mediante arañas o crawlers, y den like a tweets al azar para llamar la atención:
Una vez que alguna cuenta de Twitter hace seguimiento a alguno de estos pornobots, envía por mensaje directo una fotografía de una mujer desnuda, acompañada de exactamente el mismo texto. Finalmente, copia invitaciones a hacer click a una página web pornográfica:
Esta es, con bastante ventaja, la botnet de Twitter con mayor cantidad de cuentas que hemos descubierto en Cazadores de Fake News: tiene al menos 6031 cuentas diferentes, que tuitearon alguno de los 15 tweets más publicados de la Tabla 1 por lo menos en una ocasión:
Puedes descargar el listado de las 6031 cuentas pornobots aquí.