+34 697 722 901 contacto@cyberbrainers.com

Te pongo en antecedentes.

Hace unos días a un cliente de presencia digital de Èlia, un hotel de Cataluña, le hicieron una usurpación de identidad a su perfil en Instagram.

Como puedes ver en la imagen destacada de este artículo, crearon un usuario con un nombre casi idéntico (la única diferencia es que tenía una «T» final), con la misma foto de perfil, la descripción también clonada, unas cuantas fotos robadas, y un perfil en oculto, para que no se note mucho que no tienen interacciones y que es un perfil recién creado.

Es, como ya expliqué en su día, la estrategia base que utilizan todos los cibercriminales (creatividad en esta industria hay cero). Las cuentas creadas de esta manera se reconocen rápidamente, pero también son muy fáciles de crear, por lo que a pura fuerza bruta (generan más de las que les acaban cerrando) acaban saliéndoles rentables.

En este caso en particular nos enteramos porque alguno de los seguidores de la cuenta real nos alertó de que esa cuenta le había enviado un MP dentro de la plataforma avisándole de que había ganado un viaje para dos personas de un fin de semana, y que para conseguirlo, simplemente tenía que poner sus datos en una página.

Exactamente la misma que tenían en la descripción del perfil, y que nuevamente, como todos los fraudes de este tipo, ocultan bajo una URL acortada.

campana phishing instagram

Por supuesto, si entrabas en la URL, te llevaba a una página alojada en Google Sites (un servicio de creación de webs sencillito y gratuito de la propia google), con un texto que informaba del concurso (y traducido de aquella manera…), y un botón al final para ir a la página fake de registro, como esa otra campaña que comenté en su día, y con la que unos cibercriminales consiguieron robar 100 euros a mi pareja.

Aquí, un tema curioso, es que puesto que Google probablemente los acabaría cazando si linkaban directamente a la URL final del fraude, lo que hacían era utilizar de intermediaria otra URL de direccionamiento, para acabar en lo que ya parecía un supuesto servicio VPN que te exigía para continuar que pusieras tu número de tarjeta.

Es decir, la excusa de la campaña de phishing es lo de menos.

Lo que de verdad les interesa a los cibercriminales es que intentes crearte un usuario en ese servicio de VPN «para proteger tu privacidad», y con ello robar a las potenciales víctimas unos cuantos euros de su tarjeta, y con suerte (al utilizar la mayoría de la gente el mismo usuario/contraseña para todos sus servicios) también sus otras cuentas digitales, que serían revendidas en el mercado negro o usadas, nuevamente, para estafar a otras víctimas.

Como decía aquí partimos de la suerte de que la comunidad creada alrededor de este cliente es muy fiel, y tan pronto empezaron a enviar uno a uno los MPs a todos los seguidores de la página, ya nos alertaron de la situación.

Con otros clientes lo que les ofrecemos es un servicio de alerta temprana que, como su propio nombre indica, nos alerta cuando alguna de estas cuentas es creada y/o alguien menciona un nombre parecido al del cliente en redes sociales.

que hacer fraude instagram

¿Qué hacemos para evitar una usurpación de identidad a nuestro perfil o nuestro negocio en Instagram?

Afortunadamente, todas las redes sociales cuentan con mecanismos para minimizar el daño de un ataque de este estilo.

Lo primero que hicimos fue avisar al cliente (para que esté al tanto de lo que está ocurriendo con su marca) y al resto de seguidores mediante una publicación (sin dar el nombre o enlazar al perfil fake, que no queremos darle más publicidad de la que ya tiene) para que no cayeran en la trampa.

Además, el equipo de comunicación se empeñó en mandar un MP al perfil fake para alertarle de que lo que hacían era ilegal, y que de continuar con ello los abogados de la empresa entablarían acciones legales. Por supuesto, la respuesta que recibimos fue un bloqueo de la cuenta por su parte.

Mientras tanto, y desde diferentes perfiles, hemos denunciado tanto al perfil fake como a la URL que enlazan alertando a Instagram de que se trata de un fraude. Algo que se hace, como puedes ver en la foto que acompaña estas palabras, desde el menú de opciones del perfil de la usurpación de identidad > Denunciar, y desde el menú de opciones del navegador embebido de Instagram > Denunciar este sitio web.

Por que lo haga un solo perfil seguramente no pase nada, pero con que lo hagan varios la petición ya trasciende, y es cuestión de tiempo que Instagram, o cualquier otra red social, se haga eco y bloquee el perfil y/o la web.

Y por último, pero no por ello menos importante, hay que alertar a las autoridades nacionales. En el caso de España a la Policía Nacional (ES) y/o al Grupo de Delitos Telemáticos de la Guardia Civil (ES).

Al estar el hotel en Cataluña, avisamos también a los Mossos de Escuadra, y pusimos las consabidas denuncias en cada caso.

Además de porque es nuestro deber como ciudadanos avisar de este tipo de fraudes, en última instancia son ellos quienes pueden intermediar directamente con compañías como Facebook o Google obligándoles a que cierren perfiles fake y marquen como potencialmente peligrosos dominios como este.

En fin, que por aquí una breve explicación de cómo funcionan este tipo de usurpaciones de identidad en Instagram, y qué hacer para defendernos de ellas.

Si estás en esta situación y necesitas ayuda, no dudes en escribirnos o llamarnos.

En CyberBrainers ayudamos a empresas y usuarios a prevenir y minimizar los daños de una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, un intento de crossfighter y un comilón nato 🙂