Escuchar¿Alguien puede interesarse en secuestrar su cuenta de Facebook o de Instagram? La respuesta es sí, aunque usted no sea de las personas con miles de seguidores o influenciadora. Y ocurre. Muchos usuarios optan por crear otra cuenta, pero hay posibilidades de recuperar el perfil.
“Se está dando”, confirmó Kevin Vilchez, estratega en Sense Digital Agency y especialista en redes sociales y mercadeo digital. “Hay un mercado negro. Los usuarios deben estar atentos”.
Los ciberdelincuentes no solo se fijan en empresas o instituciones para secuestrar datos con fines extorsivos, como se vio en el caso del Ministerio de Hacienda en Costa Rica. También secuestran información personal para robo o suplantación de identidad y encuentran víctimas en las redes sociales.
Los usuarios en Costa Rica utilizan con mayor frecuencia el WhatsApp (93%), Facebook (92%), YouTube (82%), Instagram (63%) y TikTok (40%), de acuerdo al reporte de Kantar Ibope Media. Su masivo uso hace que sean una categoría con mayor probabilidad de ataques.
La firma Check Point reportó que la plataforma LinkedIn está relacionada a más de la mitad de los ataques mundiales relacionados con el phishing (52%). WhatsApp es otra aplicación en la que se lleva a cabo uno de cada 20 ataques de phishing. El fenómeno va en crecimiento.
El mismo reporte de Check Point destaca que en el primer trimestre del 2022 se registró un aumento considerable de la tendencia de utilizar las redes sociales para suplantar la identidad para así robar información personal o credenciales de pago de las personas.
Qué ocurre
El robo de cuentas se realiza con diferentes fines en un mercado negro que se estableció de la misma forma que otros tipos de industrias delictivas. Hay bandas de ciberdelincuentes en India que se dedican a secuestrar cuentas de YouTube.
Vílchez explicó que en el mercado negro las cuentas se cotizan según la cantidad de seguidores y por segmentos. Los compradores obtienen así perfiles sin necesidad de tener que invertir en tiempo y esfuerzo para obtener seguidores. Por ejemplo, una cuenta de Instagram de tres millones de seguidores puede alcanzar un precio de venta de $120.000.
El riesgo es que paguen, no la obtengan o que Meta —dueña de Facebook e Instagram— identifique que un usuario obtuvo, de la noche a la mañana, una cuenta con una gran cantidad de seguidores.
En Facebook la tendencia es más el secuestro de perfiles personales o individuales, más que las páginas o fanpage de marcas, pues el objetivo es hacer daño más que lucrar.
Los ciberdelincuentes pueden realizar el robo de las cuentas con el fin de hacer daño en la reputación, eliminar contenidos y seguidores, o para extorsión.
“Existen comunidades de cracker (como técnicamente se denomina a los ciberdelincuentes) para repasar o identificar cuentas de redes sociales que pueden secuestrarse”, dijo Luis Alonso Ramírez, miembro de la comisión de ciberseguridad del Colegio de Profesionales en Informática y Computación (CPIC).
Cómo ‘crackean’ su perfil
Los ciberdelincuentes realizan el robo de cuentas mediante varios métodos, incluyendo ingeniería social, el arte de manipular psicológica y emocionalmente a personas desprevenidas para convencerlas de que hagan una acción que las perjudica.
Uno de los más usuales es que la persona es contactada a través de un mensaje con aspecto oficial tipo corto de texto (SMS), WhatsApp, correo electrónico e incluso llamadas telefónicas (lo cual se conoce como vishing). Luego solicitan al usuario que haga clic en un enlace o link (que es malicioso) e inicien sesión a través de un portal falso donde recopilan credenciales y otra información personal.
La firma ESET advirtió también que los criminales utilizan perfiles falsos en redes sociales, se contactan con usuarios desprevenidos y les piden datos personales. Otro mecanismo que utilizan es monitorear los comentarios de los consumidores en las páginas de bancos, aerolíneas o de otras empresas para contactarlos haciéndose pasar por los respectivos departamentos de atención al cliente para pedir los datos y secuestrar los perfiles e incluso obtener información de tarjetas de crédito o débito.
Pueden hacerse pasar por la empresa de la red social para avisar al usuario que debe actualizar sus contraseñas para no perder la cuenta.
Otra forma es, sorteando los controles de seguridad de las compañías telefónicas, se hacen pasar por clientes legítimos para sacar una nueva tarjeta SIM con la línea telefónica de los usuarios cuya identidad fue suplantada. Así secuestran la línea telefónica y el control de sus llamadas y mensajes, utilizan información de las víctimas para solicitar una nueva contraseña y reciben el código de verificación para acceder a las cuentas de redes y cuentas bancarias.
Los ciberdelincuentes también utilizan sistemas para adivinar las contraseñas (mediante lo que se denomina fuerza bruta) basándose en bases de datos de cuentas, donde van combinando palabras de paso (password) hasta que “las adivinan”. Este método no es complejo, pues las personas normalmente tienen contraseñas fáciles de identificar: nombres de mascotas, cumpleaños, lugar de residencia o el simple 1234567890.
Dos métodos adicionales son el uso de bases de datos con las cuentas e información de usuarios y la infiltración de los dispositivos del usuario mediante un software maligno llamado keylogger que avisa cuándo la persona ingresa a la red social y detecta lo que teclea o digita.
Cómo saber si secuestraron su cuenta
Hay varias señales que indican cuando una cuenta fue secuestrada o que está siendo usurpada.
La primera es la imposibilidad del acceso. Pero, en algunos casos, los usuarios pueden ingresar y empiezan a notar nuevos contactos que no son conocen, pedidos que no han realizado o mensajes de chat que no escribieron.
Otras señales son los cambios de la información personal o publicaciones borradas.
Qué hacer si secuestraron su cuenta
Cada red social tiene un servicio en línea para notificar el secuestro o la usurpación de una cuenta personal. “Es un sistema, no es una persona”, dijo Vílchez.
El primer paso es ir a soporte e ingresar a “olvide la contraseña”, con lo cual cada red inicia un procedimiento para iniciar cambio de clave donde se pregunta si lo hackearon. De ser así se debe documentar para que sea verificado. Las posibilidades de recuperación son más rápidas en países como Estados Unidos que en Latinoamérica.
En el caso de Facebook se puede hacer la denuncia en una página destinada a tal efecto y que deberá seguir el procedimiento y darle seguimiento. Recuerde que no hay garantía de recuperar la cuenta. “Hay que ser muy diligente”, dijo Ramírez. “No solo debe hacer la denuncia a la red social. También debe hacer la denuncia ante las autoridades, presentando la evidencia para facilitar la investigar”.
En todo caso, el usuario debe realizar la notificación de suplantación lo más rápido posible, pues si el hackeo no está completo es más fácil revocar el acceso del intruso, y recordar el correo electrónico que asoció a la cuenta de la red social. La recuperación también se hace más expedita cuando el usuario asoció su número telefónico para recibir tanto notificaciones como claves numéricas de verificación.
Medidas preventivas
Para prevenir un robo de identidad, el usuario debe estar al cuidado de sus cuentas, contar con un antivirus y no confiar en nadie que le pida información o datos personales, le envíe un link o le llame para que ingrese a un sitio web donde debe digitar sus contraseñas.
“Lo primero es estar atentos a las señales que podrían indicar que nuestra identidad fue robada. Estar informados y conocer las estrategias más comunes que utilizan los delincuentes, teniendo presente que constantemente surgen nuevas modalidades”, aconsejó Camilo Gutiérrez Amaya, especialista de ESET.
Joey Milgram, gerente de Soluciones Seguras en Costa Rica, recomendó revisar la configuración de privacidad de cada red social para decidir cuál información será pública, cuál prefiere mantenerla privada y quién puede ver su perfil.
Otra medida es utilizar una contraseña fuerte (con mayúsculas, minúsculas, números y caracteres), no usar las mismas contraseñas en varias cuentas o servicios y activar la doble autenticación, con lo que podrá asociar el acceso a una red con un correo o con su número celular para recibir notificaciones y claves de acceso. También puede utilizar Google Authenticator, un software basado en autenticación con contraseña de un solo uso desarrollado por Google.
No sea víctima del phishing: corrobore la autenticidad de los mensajes que recibe de compañías o de las mismas redes, pero siempre desconfíe completamente y no comparta información personal, de perfiles de redes sociales o correos electrónicos y tampoco de sus cuentas bancarias.
En cualquier caso, recuerde no se ofusque si le ocurre. Guarde la calma y siga el procedimiento para reportar el secuestro de la cuenta. “Le puede pasar a cualquiera”, recordó Vílchez.
