¿Todavía no has activado la verificación en dos pasos? Esta razón te convencerá de hacerlo ya
Mientras un botnet colapsaba Twitter, expertos lo siguieron en directo: esto es lo que descubrieron
Un panel de control abierto, accesible sin contraseña, convirtió una operación encubierta ajena en una vitrina evidente. A través de un servidor en Alemania, los especialistas pudieron observar en tiempo real cómo botnet prueba combinaciones de usuarios y contraseñas para cuentas de X, muestra estadísticas de intrusiones y almacena en claro las contraseñas root de toda la infraestructura de trabajo.
Los especialistas de Breakglass Intelligence informaron que encontraron un panel de control sin protección Twitter Checker Master Panel — FULL FIX v2.3 en el servidor 144[.]76[.]57[.]92:5000. El panel funcionaba sin ningún tipo de autenticación y daba acceso total a la operación de prueba de credenciales. A través de la interfaz se podían ver la lista de servidores, cargar bases de usuarios y contraseñas, iniciar y detener las comprobaciones, así como exportar resultados con cuentas ya comprometidas.
En 12 minutos de observación el 10 de abril de 2026, el sistema logró comprobar 722 763 pares usuario-contraseña y acceder a 18 cuentas más. La estadística general del panel mostraba más de 4,8 millones de registros comprobados y 138 capturas confirmadas. Los autores del informe subrayan que casi el 85,6 por ciento de las cuentas se topaban con la autenticación de dos factores, que el botnet no pudo eludir. En la práctica la operación descartaba los perfiles protegidos y buscaba únicamente aquellos donde quedaba una sola contraseña.
Dentro del panel había 18 servidores de trabajo con acceso root por SSH, y todas las contraseñas se almacenaban en texto claro. Los nodos estaban ubicados en la misma subred 31[.]58[.]245[.]0/24, asociada al proveedor turco Komuta Savunma Yuksek Teknoloji Limited Sirketi en Ankara. La interfaz del panel también estaba completamente en turco, y los nombres de los servidores empezaban por la palabra Sunucu, lo que además indica un operador de habla turca o un grupo estrechamente vinculado a Turquía.
Según Breakglass Intelligence, la infraestructura se desplegó en oleadas desde finales de diciembre de 2025 hasta finales de enero de 2026, y la instalación masiva del software de verificación se realizó el 24 de febrero. El servidor de control estaba alojado en Hetzner y, además del panel en el puerto 5000, tenía abiertos RDP, SMB y WinRM. Al momento de la publicación apenas había rastros de detección en grandes plataformas de intercambio de indicadores de compromiso: VirusTotal, ThreatFox, URLhaus y AbuseIPDB no registraban actividad de esta red.
La historia resulta notable no solo por la escala sino también por la sencillez del esquema. No se trata de una vulnerabilidad compleja ni de un ataque raro. Los operadores utilizaron el método antiguo de prueba de contraseñas en credenciales filtradas, y la principal barrera para el botnet fue la protección habitual de dos factores.
En la práctica, esta investigación fue otro recordatorio de que la reutilización de contraseñas y la ausencia de 2FA siguen dejando a los usuarios con demasiadas probabilidades de acabar en la estadística ajena.