¿Te has preguntado alguna vez qué pasa si un atacante consigue las llaves de una cuenta con decenas de millones de seguidores? Pues ha pasado, y no en una cuenta cualquiera.
Los perfiles oficiales de SpaceX y Starlink en X (Twitter) fueron comprometidos para promocionar una estafa cripto conocida como "rug pull" bajo el nombre SCATMAN. Los atacantes publicaron enlaces a un token fraudulento, aprovechando la credibilidad de estas cuentas para atraer a inversores desprevenidos. El incidente expone la vulnerabilidad incluso de las redes más visibles y plantea preguntas serias sobre la seguridad de las cuentas corporativas de alto perfil.
¿Qué ha pasado exactamente?
El pasado martes, las cuentas de X de SpaceX y Starlink amanecieron con publicaciones extrañas. Anunciaban un supuesto "aire aéreo" o "asociación" con una criptomoneda llamada SCATMAN. Un enlace, una promesa de dinero gratis, y el resultado fue el de siempre: gente que picó, conectó su wallet y perdió sus fondos.
No es la primera vez que pasa, claro. Las cuentas de Elon Musk y sus empresas son un objetivo recurrente. Pero la frecuencia no debería restarle importancia. Que alguien pueda tuitear desde la cuenta oficial de una empresa que gestiona una constelación de satélites dice mucho del estado de la seguridad digital, incluso en organizaciones con recursos casi ilimitados.
¿Quién está detrás?
Aquí no hay un nombre, obviamente. Suelen ser grupos organizados que buscan el golpe rápido: lanzan un token, inflan el hype con cuentas comprometidas, la gente compra, y ellos vacían la liquidez. Un rug pull clásico. SCATMAN probablemente no era más que un contrato creado horas antes, sin ningún proyecto real detrás.
Lo interesante es el método. No se sabe si fue por un fallo en la autenticación de dos factores, un empleado con acceso comprometido, o un exploit en la propia plataforma de X. Sea como sea, demuestra que el factor humano sigue siendo el eslabón más débil.
Implicaciones para ti como inversor o usuario
Vale, tú no tienes una cuenta con cincuenta millones de seguidores. Pero el principio es el mismo. Si logran colarse en SpaceX, imagina lo que pueden hacer con cuentas más pequeñas, o con las tuyas.
El problema no es solo la estafa en sí. Es la erosión de la confianza. Si no puedes fiarte ni de un tuit de Starlink, ¿de qué te fías? Para el inversor cripto, esto significa una cosa: cualquier anuncio de un token, venga de donde venga, debe ser verificado con escepticismo.
Ninguna cuenta oficial, por muy grande que sea, debería ser tu única fuente de verdad para una inversión. El phishing y los hacks evolucionan. La regla de oro sigue siendo: no conectes tu wallet a enlaces que no hayas verificado por canales alternativos.
¿Y qué pasa con el token SCATMAN?
Ya está muerto, probablemente. Los rug pulls suelen durar horas. El precio se dispara, los creadores sacan la liquidez, y el token se desploma a cero. Los que llegaron tarde se quedan con unos tokens sin valor en una wallet que quizá ya ha sido comprometida.
No hay mucho más que rascar. Es un patrón repetido hasta la saciedad. Lo relevante no es el token, es el vector de ataque.
Según la experiencia del sector, los ataques a cuentas verificadas en X suelen usar tácticas de ingeniería social o la compra de credenciales filtradas en la dark web. No es un exploit técnico revolucionario, sino explotar la mala gestión de accesos.
Lecciones para el futuro
Esto no va a desaparecer. Mientras haya dinero fácil en las criptos, habrá quien intente robarlo. La pregunta es qué puedes hacer tú para no ser la siguiente víctima.
Primero, asume que cualquier enlace que veas en redes sociales es potencialmente malicioso. Segundo, usa carteras de hardware para cantidades significativas, y nunca las conectes a aplicaciones desconocidas. Tercero, diversifica: no tengas todo en una sola wallet ni en un solo exchange.
Y si eres una empresa, revisa quién tiene acceso a tus cuentas. Rotar contraseñas, usar 2FA con claves físicas, y auditar los permisos de forma regular no es opcional.
No es un problema de tecnología. Es un problema de higiene digital. Y como con la higiene normal, cuando la descuidas, acabas oliendo mal.
Lo que necesitas saber si esto te afecta
Si tienes criptomonedas y viste el anuncio de SCATMAN o cualquier otro token promocionado por cuentas comprometidas, lo primero es no hacer clic en nada. Si ya lo hiciste y conectaste tu wallet, revoca los permisos del contrato inmediatamente usando herramientas como Revoke.cash. Si tienes dudas sobre el rastro de tus transacciones o cómo justificarlas fiscalmente, un especialista como Solcrip puede ayudarte a poner orden.
La próxima vez que veas un "regalo" en Twitter, piensa dos veces. Porque el regalo, casi siempre, es para ellos.



