Estafas en Instagram. Cuáles son las más comunes y cómo evitar caer en la trampa
El objetivo de los delincuentes es tomar el control de las cuentas para venderlas o estafar a sus contactos; los especialistas aseguran que guardar pruebas del ataque y hacer la denuncia es fundamental, pero pocos lo hacen
C. P.
Nacido en 2010 para emular las fotos tomadas con las cámaras Instamatic, este servicio de Facebook tiene casi 1400 millones de usuarios y es protagonista de la economía global
“Hola, usuario de Instagram, hemos recibido muchas quejas sobre tu cuenta. Deseamos informártelo antes de eliminarla. Algunas de las publicaciones van en contra de las pautas de nuestra comunidad respecto de los derechos de autor. Si crees que la infracción es falsa, haz tu devolución. De lo contrario, tu cuenta se eliminará permanentemente de la plataforma en 72 horas. Se adjunta un Formulario de apelación de derechos de autor en forma de enlace”, dice una de las trampas más habituales por estos días.
El usuario, asustado, se apresurará a completar el documento, pero en realidad se trata de un enlace malicioso que tiene por objetivo robarle su contraseña de Instagram y su fecha de nacimiento, para adueñarse de la cuenta.
¿Cuál es la finalidad? “Los datos personales se venden en la Dark Web. Allí se comercializan cuentas de usuarios, con sus contraseñas, tarjetas de crédito, débito, cuentas bancarias y de PayPal. Una cuenta de Instagram o Facebook tienen un valor de entre 55 y 75 dólares, mientras que una cuenta de Gmail unos 150 dólares”, explica Gabriel Zurdo, CEO de BTR Consulting. Además, si se trata de cuentas con muchos seguidores, una actividad comercial o de una personalidad pública, el objetivo puede ser pedir un rescate para recuperar la cuenta.
Arbolito digital
Otros delincuentes, luego de quedarse con el perfil de un usuario realizan estafas impostando esa identidad. Publican, por ejemplo, historias de Instagram ofreciendo dólares. “Vendo dólares baratos solo por hoy por una urgencia”, escriben. A ese anzuelo es más fácil caer porque los contactos creen conocer a la persona que hace esa publicación.
“Hace unas semanas una nueva y peligrosa estafa apunta a múltiples víctimas en simultáneo. Copian sus nombres reales y sus fotos para construir cuentas falsas, clones casi idénticos a los originales. La cuenta clon se vincula a un sitio web que se parece a OnlyFans, una plataforma popular de alto contenido erótico. Para acceder solicitan ingresar los datos de una tarjeta de crédito. Si bien el contenido para adultos no existe, el efecto del daño es doble. Por un lado, financiero, y por otro, reputacional”, explica el CEO de BTR.
Según Santiago Pontiroli, analista de investigación para América latina en Kaspersky, hay otras tácticas. “Por ejemplo, los atacantes crean una copia íntegra del perfil de la víctima, incluido el avatar y la descripción, y luego acusan al verdadero propietario de suplantación de identidad. Si la cuenta de la víctima no está verificada, el servicio de soporte de Instagram inhabilita a la víctima”, explica.
Martina López, investigadora de ciberseguridad de ESET Latinoamérica, explica qué es el scraping de seguidores. Es una técnica lícita para extraer información de sitios por medio de scripts automatizados, pero si se la aplica el scraping a las redes sociales, se puede obtener información pública como los likes de una publicación o la lista de seguidores.
“Los atacantes utilizan scraping para identificar a los nuevos seguidores de un banco, por ejemplo. Una vez que tienen ese listado un bot los contacta desde una cuenta falsa que simula ser la entidad financiera, y les solicita sus datos”, detalla López.
Tentador
¿Por qué Instagram? Porque esta red ha crecido de manera constante desde su lanzamiento en 2010 y tiene 1386 millones de usuarios. “Cada vez es más difícil investigar este tipo de delitos y determinar la identidad y ubicación física real”, agrega Zurdo. Para evitar dolores de cabeza el ejecutivo recomienda mantener los perfiles en modo privado y solo aceptar seguidores conocidos. Mientras que López resalta que nunca se debe brindar información personal a partir de mensajes que llegan por medios digitales y, menos aún, de cuentas no verificadas.
Los expertos recomiendan también utilizar la autenticación de dos factores en las aplicaciones que lo permitan. “La mayoría de las cuentas falsas duran unos días hasta que son reportadas y dadas de baja de la red social. Sin embargo, en ese corto período logran contactar a cientos de usuarios. Por eso es importante denunciar las cuentas fraudulentas para que sean eliminadas lo más pronto posible”, asegura la ejecutiva de ESET. Para denunciar una cuenta es aconsejable recopilar todas las pruebas que permitan confirmar el ataque: capturas de pantalla, mensajes, y así. Por último, el analista de Kaspersky resalta: “si alguien los contacta para ofrecerles restaurar su cuenta a cambio de una suma de dinero, no paguen, porque terminan apoyando a delincuentes. Además, el procedimiento es gratuito desde Instagram”.
Nacido en 2010 para emular las fotos tomadas con las cámaras Instamatic, este servicio de Facebook tiene casi 1400 millones de usuarios y es protagonista de la economía global
“Hola, usuario de Instagram, hemos recibido muchas quejas sobre tu cuenta. Deseamos informártelo antes de eliminarla. Algunas de las publicaciones van en contra de las pautas de nuestra comunidad respecto de los derechos de autor. Si crees que la infracción es falsa, haz tu devolución. De lo contrario, tu cuenta se eliminará permanentemente de la plataforma en 72 horas. Se adjunta un Formulario de apelación de derechos de autor en forma de enlace”, dice una de las trampas más habituales por estos días.
El usuario, asustado, se apresurará a completar el documento, pero en realidad se trata de un enlace malicioso que tiene por objetivo robarle su contraseña de Instagram y su fecha de nacimiento, para adueñarse de la cuenta.
¿Cuál es la finalidad? “Los datos personales se venden en la Dark Web. Allí se comercializan cuentas de usuarios, con sus contraseñas, tarjetas de crédito, débito, cuentas bancarias y de PayPal. Una cuenta de Instagram o Facebook tienen un valor de entre 55 y 75 dólares, mientras que una cuenta de Gmail unos 150 dólares”, explica Gabriel Zurdo, CEO de BTR Consulting. Además, si se trata de cuentas con muchos seguidores, una actividad comercial o de una personalidad pública, el objetivo puede ser pedir un rescate para recuperar la cuenta.
Arbolito digital
Otros delincuentes, luego de quedarse con el perfil de un usuario realizan estafas impostando esa identidad. Publican, por ejemplo, historias de Instagram ofreciendo dólares. “Vendo dólares baratos solo por hoy por una urgencia”, escriben. A ese anzuelo es más fácil caer porque los contactos creen conocer a la persona que hace esa publicación.
“Hace unas semanas una nueva y peligrosa estafa apunta a múltiples víctimas en simultáneo. Copian sus nombres reales y sus fotos para construir cuentas falsas, clones casi idénticos a los originales. La cuenta clon se vincula a un sitio web que se parece a OnlyFans, una plataforma popular de alto contenido erótico. Para acceder solicitan ingresar los datos de una tarjeta de crédito. Si bien el contenido para adultos no existe, el efecto del daño es doble. Por un lado, financiero, y por otro, reputacional”, explica el CEO de BTR.
Según Santiago Pontiroli, analista de investigación para América latina en Kaspersky, hay otras tácticas. “Por ejemplo, los atacantes crean una copia íntegra del perfil de la víctima, incluido el avatar y la descripción, y luego acusan al verdadero propietario de suplantación de identidad. Si la cuenta de la víctima no está verificada, el servicio de soporte de Instagram inhabilita a la víctima”, explica.
Martina López, investigadora de ciberseguridad de ESET Latinoamérica, explica qué es el scraping de seguidores. Es una técnica lícita para extraer información de sitios por medio de scripts automatizados, pero si se la aplica el scraping a las redes sociales, se puede obtener información pública como los likes de una publicación o la lista de seguidores.
“Los atacantes utilizan scraping para identificar a los nuevos seguidores de un banco, por ejemplo. Una vez que tienen ese listado un bot los contacta desde una cuenta falsa que simula ser la entidad financiera, y les solicita sus datos”, detalla López.
Tentador
¿Por qué Instagram? Porque esta red ha crecido de manera constante desde su lanzamiento en 2010 y tiene 1386 millones de usuarios. “Cada vez es más difícil investigar este tipo de delitos y determinar la identidad y ubicación física real”, agrega Zurdo. Para evitar dolores de cabeza el ejecutivo recomienda mantener los perfiles en modo privado y solo aceptar seguidores conocidos. Mientras que López resalta que nunca se debe brindar información personal a partir de mensajes que llegan por medios digitales y, menos aún, de cuentas no verificadas.
Los expertos recomiendan también utilizar la autenticación de dos factores en las aplicaciones que lo permitan. “La mayoría de las cuentas falsas duran unos días hasta que son reportadas y dadas de baja de la red social. Sin embargo, en ese corto período logran contactar a cientos de usuarios. Por eso es importante denunciar las cuentas fraudulentas para que sean eliminadas lo más pronto posible”, asegura la ejecutiva de ESET. Para denunciar una cuenta es aconsejable recopilar todas las pruebas que permitan confirmar el ataque: capturas de pantalla, mensajes, y así. Por último, el analista de Kaspersky resalta: “si alguien los contacta para ofrecerles restaurar su cuenta a cambio de una suma de dinero, no paguen, porque terminan apoyando a delincuentes. Además, el procedimiento es gratuito desde Instagram”.
Síntomas y contramedidas
Ingeniería social
Como de costumbre, los delincuentes emplean los resortes emocionales para lograr que la víctima haga clic en enlaces maliciosos.
Ingenuidad cero
A pesar del carácter más lúdico y estético de Instagram (IG), en este servicio también hay que desconfiar de ofertas tentadoras y otros anzuelos.
Scrapping
Esta técnica, muy usada en el periodismo de datos, puede ser explotadaparadetectarlosnuevos usuarios de, por ejemplo, la cuenta de IG de un banco.
Denuncia
Solemos pasar por alto este paso, pero ante cualquier situación sospechosa hay que capturar pantallas y guardar las comunicaciones de los piratas. Esa prueba será clave.
http://indecquetrabajaiii.blogspot.com.ar/. INDECQUETRABAJA
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.