Llegamos a ustedes gracias a:



Alertas de Seguridad

Cuentas de Instagram son secuestradas

Con notificaciones falsas de violación de derechos de autor

[22/03/2019] Ser famoso en redes sociales con miles de seguidores puede ser muy beneficioso y atractivo para quienes disfrutan de compartir sus experiencias con los demás. Sin embargo, ser influencer en Instagram también podría convertirlo en presa de ladrones que buscan aprovecharse de la visibilidad de las cuentas más populares. De hecho, Kaspersky Lab ha descubierto una nueva estafa dirigida a estos perfiles que está ganando impulso.

¿En qué consiste esta modalidad de ataque?

Se trata de un esquema de phishing que secuestra los perfiles de las personas con un alto número de seguidores en Instagram, tras enviarles una falsa notificación de violación de derechos de autor."Su cuenta se eliminará permanentemente por infracción de derechos de autor", afirma una notificación por correo electrónico que parece muy oficial. Es más, cuenta con el encabezado y el logotipo habitual de Instagram, y la dirección de correo electrónico de quien envía es muy parecida a la legítima: en la mayoría de los casos es mail@theinstagram.team o info@theinstagram.team.

El correo electrónico informa que el dueño del perfil de Instagram tiene solo 24 horas, en algunas versiones 48 horas, para apelar mediante el botón de "Registrar una queja". Si hace clic en él, el usuario termina en una página de phishing convincente, donde además de incluir el enlace para que el usuario pueda "Apelar, muestra una imagen sobre la protección de los derechos de autor. Para hacer que la estafa parezca aún más legítima, ofrecen una larga "Lista de opciones de idioma que no funciona, ya que, al seleccionar cualquier idioma, la página siempre permanece en inglés.

Ejemplo de correo electrónico con falsa notificación.

Apenas el usuario hace clic en el enlace para "Apelar", se le invita a ingresar sus credenciales de Instagram. "Pero este no es el paso más peligroso de la estafa. Inmediatamente aparece otro mensaje que dice: 'Necesitamos verificar sus comentarios y si su cuenta de correo electrónico coincide con la cuenta de Instagram'. Al hacer clic en 'verificar mi dirección de correo electrónico', el usuario verá una lista de proveedores de e-mail. Si elige la suya, a la persona se le exigirá enviar tanto su dirección de correo electrónico como la contraseña de su cuenta de e-mail. Tras estas instrucciones aparece la respuesta 'Revisaremos sus comentarios', pero solo durante unos segundos. Después de eso, el usuario será redirigido a un sitio web de Instagram real, otro truco simple que otorga credibilidad adicional a la estafa, comentó Fabio Assolini, analista senior de seguridad de Kaspersky Lab.

Una vez que los datos de los usuarios son enviados a los atacantes, añadió el analista, estos pueden asumir el perfil de Instagram y modificar la información necesaria para recuperarla. "De igual forma, si también compartió las credenciales de su e-mail, podrán tomar control de su correo electrónico. Desde allí, los cibercriminales pueden exigir un rescate por las cuentas o comenzar a propagar spam, así como todo tipo de contenido malicioso usando las cuentas robadas, indicó Assolini.

CIO, Perú