A través de un mensaje directo, Alex recibió un ofrecimiento donde le aseguraban comunicación directa con Thalía, su ídolo. Sin embargo, era una estrategia de phishing, un ciberdelito del que fue víctima y que lo llevó a perder su cuenta personal en Instagram. Esta es la historia.
Desde que Thalía participó en la telenovela Quinceañera, Alex quedó flechado por el carisma de la cantante y actriz mexicana y desde entonces ha seguido de cerca su carrera. Tanto que desde sus perfiles personales en redes sociales se ha dedicado a mostrarle su apoyo y amor incondicional.
Eran las 5:45 am de un día normal en la vida de Alex cuando recibió un mensaje directo en Instagram de una cuenta que aseguraba ser parte del equipo de trabajo de la intérprete de la canción “Seducción”.
En el mensaje, breve y en un inglés malo y con errores, una persona le expresó agradecimientos por todos sus comentarios, apoyo y amor que mostraba a la cantante. Como recompensa, Thalía deseaba escribirle personalmente.
Esta es la transcripción literal en español: “Hola, tú tienes un impacto muy profundo en Thalía ella sabe por tus me gusta, comentarios, amor y apoyo. El mensaje de agradecimiento es insuficiente para expresar nuestra gratitud contigo, te amamos… Thalía quiere escribirle a él en persona, gracias. Mi nombre es Sophia ��y soy la responsable en línea de él”.
A Alex, de 38 años, el mensaje le generó emoción. Toda su vida había buscado lograr comunicación con su ídolo. “El mensaje lo sentí creíble porque Thalía me había contestado un par de mensajes previamente en la plataforma de Twitter, cuando le hice una barbie y un cuadro alusivo a ella que le gustó”, dijo Alex.
Lo que no imaginaba es que Thalía no estaba involucrada con el mensaje de la supuesta Sophia.
¿Qué es y en qué consiste el phishing?
El phishing es una técnica para robar o suplantar la identidad de sus víctimas mediante acciones de “ingeniería social” con la que los atacantes roban información confidencial. Se trata, por ejemplo, de tomar el control de cuentas en Gmail, Instagram o plataformas de pago como PayPal.
El phishing es una “estafa en internet que consiste en hacerse pasar por una persona o empresa de confianza para adquirir información confidencial de forma fraudulenta”, de acuerdo con la definición contenida en el libro Confesiones de un bot ruso, publicado por editorial Debate en 2022.
Las víctimas suelen recibir correos apócrifos en los que el delincuente cibernético se hace pasar por la compañía tecnológica para fingir auxiliar a las víctimas, dijo Santiago Fuentes, CEO y fundador de Delta Protec, startup de seguridad cibernética, consultado para este artículo.
“A mí me llega un correo de phishing y tiene un link apócrifo que me va a solicitar mi usuario y contraseña. Si en ese momento yo ingreso, ya le estoy dando mi usuario y contraseña a un hacker”, dijo Fuentes.
En el caso de Alex, la supuesta colaboradora de Thalía le indicó que a su teléfono celular le llegaría un mensaje de texto con una liga a la que debía dar clic. Posteriormente, debía enviar una captura de pantalla para completar y confirmar el proceso.
Alex no dudó en seguir las indicaciones que recibía a través de mensajes directos en Instagram. La emoción por comunicarse con su estrella lo invadió. La hora en la que se produjo la interacción con la tal Sophia tampoco ayudó: Alex no estaba completamente despierto y no tuvo tiempo de asimilar todo lo que le estaban solicitando.
El mensaje SMS tenía una liga de recuperación de contraseña de Instagram. Alex sacó captura de pantalla de ese mensaje y la envió a la supuesta Sophia. “En cuanto yo le mando la captura de pantalla, me doy cuenta de que ya no puedo entrar a mi sesión en Instagram y entonces me percaté que habían robado mi cuenta”, dijo.
Pero la historia no termina con el robo de la cuenta de Alex en Instagram.
Los delincuentes cibernéticos utilizan técnicas diversas para conseguir acceso a los datos o cuentas de las víctimas para posteriormente darles un uso indebido y sacar provecho o algún beneficio de la situación.
Gmail y PayPal, en la mira
Al comprobar la imposibilidad de ingresar a su cuenta, Alex fue a su correo electrónico para enviar una solicitud a Instagram, una red social propiedad de Meta, para recuperar el acceso a su cuenta.
En su bandeja de correo, Alex se encontró con un mensaje muy pertinente para la situación que enfrentaba.
“En mi correo había un mensaje de un remitente que decía ser ‘Instagram Security’, en el que me informaban de actividades sospechosas en mi cuenta y se ponían a mi disposición para ayudarme”.
Fue a través de ese segundo canal cuando le solicitan contraseñas tanto de su cuenta de Instagram como de Gmail para poder ayudarlo a recuperar su perfil. Alex volvió a caer en la trampa.
Perdió el control de su correo electrónico. Los ciberdelincuentes también le solicitaron los accesos de su cuenta de Paypal, un servicio de pagos y transferencias en línea, situación que detonó la desconfianza de Alex y decidió parar con el intercambio de información.
“Fue una decepción muy grande darme cuenta de que caí en una estafa por ser tan fan. No está mal ser fan, sólo hay que poner más atención en la información que compartes a través de redes sociales”, dijo Alex.
Alex entregó información confidencial sin pensar lo suficiente en lo que estaba haciendo. “Es una lección muy personal, más allá de cuidar las contraseñas. Me ha hecho pensar en muchas cosas. Hasta donde llega un fan en confiar en cuentas que no son. Se emociona uno porque crees que el artista quiere hablar contigo”.
Horas más tarde, desde la cuenta oficial de Instagram de la intérprete de la canción “Piel Morena”, se informó a sus seguidores sobre el engaño. La estrella se desmarcó de las personas que se hacían pasar como parte de su equipo, además de solicitar a todos los usuarios reportar dichos perfiles falsos.
¿Qué tan probable es que seas víctima de phishing?
Cualquier usuario puede caer en prácticas engañosas en internet.
Santiago Fuentes, CEO y fundador de Delta Protec, recomienda verificar las páginas de destino de los links que nos envíen por internet de parte de personas desconocidas.
De acuerdo con Fuentes, existen herramientas de ciberseguridad gratuitas para que los usuarios puedan verificar la autenticidad de una página de destino (URL) antes de hacer clic. Una herramienta es virustotal.com que te permite analizar archivos, dominios, direcciones IP y URL sospechosas para detectar malware y otras prácticas nocivas.
Fuentes aconseja utilizar contraseñas complejas y evitar usarlas en varios sitios. Lo ideal, dijo, es que las personas usen contraseñas distintas para cada uno de sus perfiles en las diferentes plataformas digitales.
Existen plataformas tecnológicas que han puesto al alcance de las personas, información para evitar ser víctima de phishing. Google habilitó un test para medir la capacidad de alerta de los usuarios frente a una situación de phishing en su plataforma.
Incluye ejercicios prácticos de opción múltiple con los que la plataforma te va orientando sobre si un correo es legítimo o engañoso. Pone a prueba tu capacidad de análisis en diversas situaciones, en las que a través de correos, te pide identificar su veracidad. Si tu respuesta es errónea, te dará a conocer la razón y si aciertas, te informará el porqué de tu respuesta.
¿Con qué finalidad se roban las cuentas de Instagram?
Me robaron mi perfil en Instagram pero yo no soy una figura pública o una compañía a la que puedan extorsionar para pedir dinero a cambio de devolverme mi perfil con cientos de miles de seguidores. Entonces, ¿dónde está la parte económica de ese robo de identidad?
Esa es la incógnita que Ricardo Alvarado, director ejecutivo de Riesgos de Lockton México, el consultor de riesgos más grande del mundo, trata de resolver:
“El problema es que yo tengo una red de contactos en Instagram, como en cualquier red social, y entonces si alguien utiliza mi red y escribe en mi nombre, puede abusar de la confianza de mis contactos para incitar a depositar dinero como parte de alguna inversión falsa”, dijo Alvarado.
Aun cuando puede parecer algo muy trivial, la estafa es una pirámide que puede conseguir un volúmen importante de víctimas y a su vez, de ganancias monetarias, dijo Alvarado.
El caso de Alex no fue la excepción, pues desde su cuenta personal de Instagram se enviaron mensajes privados a sus contactos para enviar información sobre supuestas inversiones en bitcoins. Alex previno a sus contactos sobre la pérdida del control sobre su cuenta y el fraude no se concretó.
Fui víctima de phishing en Instagram, ¿qué hago?
Si fuiste víctima de un hacker y caíste en el engaño, la recomendación del especialista es informar de inmediato a tus contactos sobre el robo de tu cuenta, puesto que “el valor de eso está en tu red de contactos”, recomendó Alvarado, de Lockton México.
Ofrece un nuevo canal de comunicación para mantener el contacto. Además, deslíndate de los mensajes que puedan ser enviados desde la cuenta que perdiste con el objetivo de prevenir a tu red sobre posibles fraudes.
La víctima tiene la opción de ingresar al servicio de ayuda Instagram desde la que se puede acceder a la opción de cuentas hackeadas con la información que necesitas para poder recuperarla si fuiste víctima de suplantación de identidad.
Alex no tuvo otra alternativa que resignarse a perder su cuenta personal en Instagram. Sin embargo eso no le quita la esperanza de llegar a tener comunicación directa con su artista. Razón por la que ha decidido abrir un nuevo perfil en la plataforma pero con una nueva lección aprendida. Ahora pensará dos veces antes de compartir su información con cuentas engañosas.
El Economista