El ataque de las Pornobots en español

Recibimos varios reportes sobre un numeroso grupo de cuentas de Twitter que dan «likes» a tweets. Descubrimos una red de pornobots de más de 6000 cuentas.

Durante los días 23 y 24 de febrero de 2021, usuarios de Twitter cercanos a la comunidad Cazadores de Fake News, reportaron estar recibiendo «likes» de un puñado de cuentas sospechosas, que se identificaban como mujeres atractivas y que posiblemente eran cuentas bot.

Investigamos las cuentas para descubrir cuál era el objetivo de la existencia de estas cuentas y cuántas similares forman parte de la operación.

Perfiles de algunas de las cuentas bot reportadas

Características de las pornobots

En todos los casos, las cuentas de esta botnet se identifican como mujeres atractivas. Usan nombres de mujer en español y generalmente insertan íconos en sus nombres de usuario.

Como ubicación, indican que se encuentran en «España» o «Spain«. Muchas de las cuentas, insertan la bandera de España al lado de la ubicación.

Usan fotografías que provienen de un stock limitado (se repiten fotos de avatar entre diferentes cuentas):

Las fotos de avatar más repetidas de la red de pornobots que publican tweets en español

Sus nombres de usuario son tipo «matrícula»: formato nombre-números (ejemplo: @Victoria48655). Entre diferentes cuentas hay repetición de fotografías e, igualmente, repetición del texto de algunos tweets publicados recientemente, en especial el día 16 de febrero de 2021.

Tabla 1: textos mas repetidos entre la botnet detectada. El texto «La vida es como el jazz…mejor si es improvisada» fue repetido por 2239 cuentas

La mayoría de las cuentas fueron creadas entre el año 2010 y 2014. Entre el año 2010 y 2013, fueron creadas más de 3000 cuentas relacionadas:

Cantidad de cuentas creadas vs. año de creación.

Las cuentas publicaron la mayor cantidad de tweets en una campaña presente de promoción de una página pornográfica, durante los días 16 y 17 de febrero de 2021. Solamente el día 16 de febrero, la botnet publicó 60533 tweet. Después de esa fecha, varias de las cuentas han rastreado a otros usuarios de Twitter, realizando likes a sus publicaciones para llamar la atención y ganar seguimientos. Es probable que rastreen cuentas de usuario de forma automática, mediante arañas o crawlers, y den like a tweets al azar para llamar la atención:

Cantidad de tweets publicados por la red de pornobots, entre el 16 y el 17 de febrero de 2021

Una vez que alguna cuenta de Twitter hace seguimiento a alguno de estos pornobots, envía por mensaje directo una fotografía de una mujer desnuda, acompañada de exactamente el mismo texto. Finalmente, copia invitaciones a hacer click a una página web pornográfica:

Mensajes directos enviados por la red de pornobots luego de realizar seguimientos en Twitter

Esta es, con bastante ventaja, la botnet de Twitter con mayor cantidad de cuentas que hemos descubierto en Cazadores de Fake News: tiene al menos 6031 cuentas diferentes, que tuitearon alguno de los 15 tweets más publicados de la Tabla 1 por lo menos en una ocasión:

Tabla 2: 26 de las 6031 cuentas de la botnet de pornobots detectada

Puedes descargar el listado de las 6031 cuentas pornobots aquí.


Comparte y ayuda a combatir la desinformación