Las redes sociales suelen ser el hogar principal de los emprendedores y su herramienta más útil para el crecimiento de su negocio. No obstante, también pueden convertirlos en el blanco favorito de los ciberdelincuentes. Bajo la modalidad de phishing para robo de cuentas, la joven Grecia Llamo Torres perdió el acceso al perfil de Instagram de su emprendimiento con más de 3.000 seguidores.
Grecia Llamo Torres (24) tenía un nuevo lanzamiento de ‘tote bags’ (bolsos de tela) para su marca de ropa Kahlo.pe. El lunes 13 de junio publicó un reel para su campaña y, al día siguiente, a las 5:02 a.m., un temible mensaje de WhatsApp llegó a su teléfono.
MIRA: Black Hat SEO, la modalidad que usan los cibercriminales para que caigas en páginas falsas
“Meta | Equipo de Soporte de Facebook”, leía el texto. “Hola Usuario de Instagram, Tu perfil de Instagram ha sido revisado por nuestros servidores. Y muchas veces se ha detectado que no sigues las normas de derechos de autor (Copyright)”.
“Si no llenas el formulario de objeción que te mandamos en las próximas 48 horas, tu cuenta será cerrada”, continuaba, seguido de un enlace con el supuesto formulario de objeción.
Siendo las 7:00 a.m., la primera sensación de Grecia fue el temor de perder su cuenta con 3.000 seguidores. “Obviamente me asusté, y además estaba muy somnolienta. Entonces le di click al link y me redirigió a una ventana con el mismo aspecto de inicio de sesión en Instagram desde una PC”, explicó la joven a El Comercio. “Ahí puse mi usuario y mi contraseña. Di aceptar y no pasó nada más”.
MIRA: Pasó con Facebook, WhatsApp y Twitter: ¿por qué las gigantes tecnológicas sufren filtraciones de datos personales?
En esos primeros minutos, la joven asumió que el mensaje era con relación al copyright de la música en su último reel. También pensó que, si el contacto fue por WhatsApp, debía ser legítimo, pues tanto WhatsApp como Instagram (IG) pertenecen a Meta. Pero luego de unos 15 a 20 minutos, comenzó a sospechar.
“Traté de ingresar a mi cuenta de IG y se había cerrado la sesión. No podía volver a entrar. Entonces entro a mi correo y Meta había enviado una advertencia de que otro dispositivo ingresó a mi sesión desde Cusco a las 4:47 PDT (7:47 a.m. en Perú)”.
No solo habían iniciado sesión desde otra ciudad, sino que los ciberdelincuentes cambiaron la clave y el correo al cual estaba enlazado el perfil de IG. Eso sí, el cambio fue sutil, usando prácticamente el mismo correo con dos números aleatorios extra. De esta manera, pasaron desapercibidos por la seguridad de Meta.
Al día siguiente, el perfil cambió de nombre y los estafadores comenzaron a hacer publicaciones en turco, las cuales ofrecían maneras de obtener dinero fácil y recompensas ilegales en el videojuego PUBG.
MIRA: Así actúan las mafias que roban cuentas de Netflix, HBO Max o Disney+
“Meta no me ayudó a recuperar mi cuenta de IG”
Tan pronto se dio cuenta que se trataba de un robo de su cuenta, la joven contactó a Instagram y Facebook para recuperar su emprendimiento Kahlo.pe. “La gente de Facebook siempre fue muy amable e incluso llegaron a llamarme por teléfono y darme los pasos a seguir. Pero al final no podían hacer nada, pues era un caso bajo la jurisdicción de Instagram”, cuenta Grecia.
“En cambio, nunca recibí una respuesta personal de Instagram. Incluso un par de veces solo me dijeron que simplemente no se podía recuperar mi cuenta”. Siguió mandando mensajes a IG y realizando las pruebas de identificación facial para comprobar que ella era dueña de la cuenta.
MIRA: Claves tecnológicas para evitar estafas al comprar entradas para conciertos
“Pensé que sería fácil comprobar que soy yo, porque mi rostro sale en las fotos del perfil. Además, estaba enlazado mi Meta Business Suite. Pero igual no pasaba las pruebas”. Según la emprendedora, fueron alrededor de 15 días de constantes pruebas de reconocimiento facial y mensajes, hasta que decidió dejar de intentar.
Finalmente, perdió la cuenta de su negocio con más de 3.000 seguidores, los cuales le había tardado dos años en conseguir. “Yo sé que 3.000 no es mucho. Pero eran seguidores de calidad, porque eran personas interesadas en mi ropa que me ponían contenta”.
Grecia comenta que varios de los pasos a seguir para recuperar tu cuenta de IG “no tenían sentido”. Por ejemplo, te pide que ingreses de nuevo al perfil a través de otro dispositivo para comprobar que fuiste hackeado. “Pero es imposible, porque ya no tienes ningún acceso a nada”.
MIRA: “Perdí más de 10 mil dólares al caer en la estafa de un perfil falso en Facebook”
El método de robo del que fue víctima estuvo circulando entre negocios pequeños. Una amiga emprendedora de Grecia recibió el mismo mensaje de WhatsApp; por fortuna, la joven le advirtió lo sucedido y su amiga no cayó en la misma trampa.
Actualmente, la estudiante pudo crear un nuevo perfil para Kahlo.pe, aprovechando que los ciberdelincuentes libraron el nombre de usuario, y el negocio está logrando levantarse. “Claro que es difícil volver a conseguir esta cantidad de clientes. He podido recuperar algunos gracias a TikTok también, pero no ha sido una migración muy grande”.
Cómo evitar ser víctima de phishing en Instagram
El phishing es una forma de ciberdelincuencia en la cual los criminales encuentran la forma de estafar a un usuario y obtener su información personal. De acuerdo con Kaspersky, proveedor de antivirus y expertos en ciberseguridad, existen formas de identificar una estafa de Instagram.
En primer lugar, no debes ingresar a ningún enlace cuya autenticidad es dudosa. “Comprueba siempre la URL de la página web en la barra de direcciones. Si en lugar de Instagram.com el remitente incluye algo como 1stogram.com o Instagram.security-settings.com, no hagas clic ni introduzcas datos personales”, declaró Kaspersky a este Diario.
MIRA: Así actúa el cibercrimen en Perú: los ataques de phishing se quintuplicaron en un año
Cabe mencionar que en el caso de Grecia, el enlace falso contenía “businessforcustomers.xyz./business/”. Aquel “xyz” y el hecho que no decía Instagram comprueba que era un enlace de phishing. Asimismo, Kaspersky advierte que los phishers siempre intentarán aprovecharse de las emociones, usando el susto e incluso hacer algún tipo de pedido. “Esta es la mayor señal a la que hay que estar atento”.
También se debe tomar en cuenta la forma en la que fuiste contactado, para saber su legitimidad. “Por lo general, los mensajes se envían al correo que el usuario registró en la plataforma o a través de la sección de mensajes de la app. Además, los mensajes suelen ser personalizados y no piden datos personales”.