Las redes sociales se han convertido en una de las vías de comunicación más exitosas y plataformas como Facebook, Twitter e Instagram son usadas a diario por millones de usuarios, tanto para fines personales como comerciales. Solo Instagram tiene más de 1.000 millones de usuarios al mes, aproximadamente una octava parte de la población mundial actual.

   Los ciberdelincuentes acuden cada vez con mayor frecuencia a estos populares sitios a la caza de presas para el 'hackeo' y la extorsión. En los últimos años, los expertos de la compañía de ciberseguridad Trend Micro han observado varios grupos y cebos vinculados a estos esquemas.

   Para obtener el máximo impacto, los ciberdelincuentes que están detrás de esta campaña persiguen a los 'influencers' de las redes sociales, un patrón que también se ha visto en campañas anteriores. Al haber acumulado no miles, sino millones de seguidores y, a menudo, ganar dinero con ofertas de marcas, marketing de afiliación y otros medios, los 'influencers' tienen mucho que perder si sus cuentas se ven comprometidas.

Cómo se hackean las cuentas

   Para atraer a los objetivos, los 'hackers' suelen disfrazar sus cuentas como cuentas de soporte técnico. A veces, asumen la identidad de un amigo del propietario de la cuenta objetivo. A continuación, utilizan correos electrónicos de 'phishing', 'apps' de mensajería como Telegram y WhatsApp, o el propio Instagram para llegar a la víctima potencial. Para ello, crean cuentas nuevas o reutilizan cuentas robadas.

   El contenido de los mensajes de los 'hackers' afirma que el propietario de la cuenta ha cometido una violación de los derechos de autor o que pueden proporcionar una credencial verificada. Según el mensaje de los 'hackers', la cuenta será eliminada si el usuario no verifica su cuenta introduciendo sus datos en una página web a la que los hackers incluyen un enlace en el mensaje. El enlace lleva a un sitio de 'phishing' que imita la interfaz de usuario oficial de Instagram.

   Si el usuario entrega sus credenciales reales, los ciberdelincuentes proceden a cambiar la contraseña de la cuenta para que el propietario original pierda el acceso a la misma. A continuación, minan la cuenta descargando todas las imágenes y mensajes de forma manual o a través de la función de copia de seguridad de datos de Instagram. Los hackers pueden incluso modificar la biografía de la cuenta, compartir contenido a través de la función de 'Stories' o llegar a los contactos de la víctima.

Negociación con las víctimas

   Al mismo tiempo, los 'hackers' comienzan a negociar con la víctima. Suelen manejar la cuenta 'hackeada' mientras la víctima habla con ellos utilizando una cuenta diferente. A continuación, exigen un pago en forma de bitcoin, tarjetas de crédito prepago o vales a cambio de restablecer el acceso. Según la actividad detectada en algunos monederos de bitcoin relacionados con esta campaña, parece que algunos objetivos podrían haber pagado, según detallan desde Trend Micro.

   Sin embargo, la negociación no es más que una treta. Lo hacen solo para que la víctima no se vea obligada a denunciar el incidente a través de los canales adecuados y para que puedan ganar algo de tiempo, ya que la descarga de todos los datos de la cuenta puede tardar hasta dos días. Después de que la víctima pague, los 'hackers' no devolverán la cuenta. Al contrario, solo pedirán más pagos.

   En muchas ocasiones, un solo actor malicioso compromete manualmente varias cuentas a la vez. También hay casos en los que cada actor malicioso perteneciente a un grupo tiene un papel designado en la campaña, como el operador del 'hackeo', el recaudador de pagos o el líder que supervisa la operación.

Cómo mantener las cuentas seguras

   Los usuarios, por su parte, pueden proteger sus cuentas de Instagram -o cualquiera de sus cuentas 'online'- siguiendo una serie de recomendaciones básicas de seguridad que ofrecen los expertos de Trend Micro.

   En primer lugar, aconsejan a los usuarios que configuren una autenticación de doble factor o multifactor. Con esto activado, los 'hackers' no podrán acceder a una cuenta aunque tengan la contraseña. Instagram y muchos otros sitios tienen ajustes de configuración para esto.

   También se aconseja que nunca se abran enlaces en correos electrónicos y mensajes de fuentes desconocidas, ya que estos enlaces pueden llevar a sitios de phishing. Los usuarios pueden consultar la página de soporte oficial del servicio o sitio web afectado para obtener más información en caso de 'hackeo' o desactivación de la cuenta.

   Por último, recomiendan emplear soluciones para añadir capas de seguridad como Trend Micro Cloud App Security, que mejora la seguridad de Microsoft Office 365, Google Workspace y otros servicios en la nube mediante la detección de URL maliciosas (como sitios de 'phishing') ocultas en el contenido y los archivos adjuntos de los correos electrónicos.

   También destacan Trend Micro Worry-Free Services, que evita que los mensajes de 'phishing' de credenciales y otras amenazas del correo electrónico lleguen a la red empleando 'machine learning' y otras técnicas; o Trend Micro Security, que ofrece protección a los usuarios domésticos contra las amenazas de correo electrónico, archivos y web en sus dispositivos.