Viajes, productos de belleza, teléfonos móviles...Los sorteos en Instagram forman parte de una de las técnicas más utilizadas en esta red social para ganar alcance y seguidores. Esto lleva consigo que los timadores aprovechen que hay una gran cantidad de personas participando para intentar sacarle sus datos personales y también su dinero, a través de lo que conocemos como phishing.
Y, ¿cómo lo hacen? Como ya hemos visto en Maldita.es en varias ocasiones, creando cuentas con un nombre muy parecido al del negocio o empresa que lanza el sorteo y usando la misma foto de perfil. De esta forma, mediante mensajes privados a los participantes les anuncian que han sido ganadores y les envían un link con el fin de que proporcionen sus datos.
Normalmente hablamos de los usuarios que reciben el link fraudulento como las víctimas de esta práctica. Pero lo cierto es que la cuenta que sufre la suplantación en Instagram puede ver cómo tanto “su reputación así como su credibilidad” se ven afectadas. Como consecuencia, le puede llevar también a perder seguidores, de acuerdo con la Oficina de Seguridad del Internauta (OSI).
¿Qué pasos debo seguir si han suplantado la cuenta de mi negocio?
Es importante saber actuar cuando nos damos cuenta de que están suplantando nuestra cuenta y así también evitar que los usuarios acaben cayendo en la trampa. Por tanto, desde la OSI aconsejan seguir los siguientes pasos:
- Bloquea las cuentas que se hacen pasar por tu perfil para evitar que los ciberdelincuentes puedan ver tus seguidores y, por tanto, los participantes del sorteo, y se puedan poner en contacto con ellos. No obstante, si los ciberdelincuentes siguen la cuenta, por ejemplo con otros perfiles o con sus perfiles personales, este efecto no tendrá resultado.
- Denuncia estas cuentas que se hacen pasar por ti a Instagram para que la plataforma “sea consciente de lo que está sucediendo y tome las medidas oportunas para cerrar el perfil falso”. Puedes ver cómo hacerlo en este enlace.
- Lanza un mensaje, ya sea a través de un post o mediante una story, advirtiendo a tus contactos sobre los perfiles ilegítimos que te están suplantando para que puedan identificarlos y evitar ser víctimas de un fraude.
En estas imágenes vemos cómo lo hizo mediante stories la tienda de plantas de interior, Selva Monstera, un caso de suplantación que ya os contamos en Maldita.es:
- Documenta lo ocurrido haciendo capturas de pantalla tanto de los perfiles falsos como de los mensajes que envían a tus seguidores y, en caso de que sea necesario, pon una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
- La OSI recomienda mantener el perfil privado hasta que se solucione el problema. Sin embargo, esto puede hacer que el número de participantes en el concurso se reduzca y, por tanto, la promoción del producto o de la marca no sea tan efectiva.
Las marcas deben estar atentas a posibles suplantaciones y tomar medidas preventivas, según los expertos
No solamente es importante tomar medidas si este tipo de problema se presenta, es tanto o más importante hacerlo antes de que llegue, explica a este medio el maldito y experto en social media en Lewis & Carroll, José Antonio Rodríguez. Esta prevención de la que habla, debe estar presente en "los términos de la promoción o concurso, con las especificaciones de mecánica, premios y, sobre todo, bases legales".
Por tanto, el experto en social media recomienda "encarecidamente que, al plantear una promoción, se advierta siempre de la posibilidad de que algún perfil falso o fraudulento pueda contactar con los participantes con un mensaje notificándoles que han ganado y pidiéndoles datos para recibir el premio". Además, aconseja que se haga de una forma visible y clara para que no pase inadvertida la recomendación.
En segundo lugar, considera que las marcas también deben pronunciar con anterioridad de qué forma se anunciará al ganador y qué cuenta será la que lo anuncie o se ponga en contacto con el mismo. "Puede parecer redundante, pero hay que hacer hincapié en el nombre exacto con el que vamos a contactar, sea el nombre del perfil oficial en la red social en cuestión, o de un perfil de atención al aliente o del departamento legal. De esta forma les estamos diciendo a los participantes que cualquier otro tipo de contacto indicará que se trata de una suplantación y se debe omitir dicho contacto", argumenta Rodríguez.
En el caso de que una empresa haya sido suplantada y "detecta que el caso es grave, es decir, que muchos participantes comentan este tipo de suplantación", desde Lewis & Carroll aconsejan habilitar una "cuenta de correo electrónico específica, o incluso un número de teléfono, para que los usuarios puedan ponerse inmediatamente en contacto con ellos. De esta forma, podrá denunciar los casos a las autoridades.
Aunque suplantar a una marca que hace sorteos y promociones es una práctica que está en auge en Instagram según hemos podido comprobar en Maldita.es, “las marcas oficiales deben estar siempre atentas a las diversas suplantaciones que se pueden dar”, de acuerdo con la maldita y experta en marketing online, Carmen Ramírez.
Mediante la búsqueda de “palabras claves y hashtags en redes sociales como Instagram, se pueden rastrear cuentas que utilicen nombres similares al de tu marca”, por lo que es recomendable llevar a cabo esta práctica para después advertir a tus seguidores, de acuerdo con Ramírez. De esta forma, afirma, “la empresa se asegura su reputación en redes”.
Las cuentas que suplantan a la de un negocio o marca suelen usar el mismo modus operandi
En el mes de abril, Selva Monstera lanzó un sorteo que tenía un premio de dos plantas mensuales durante “toda la vida”, lo que motivó a un gran número de usuarios a participar. En Maldita.es comprobamos que, al menos, 36 cuentas se hicieron pasar por esta marca tras anunciar el sorteo y alguna de ellas logró que más de 1.000 personas le siguieran.
Esto no sólo le ocurre a marcas grandes, también se puede dar en negocios más pequeños, con alrededor de un millar de seguidores, como explica la OSI.
Tal y como hemos mencionado, todo empieza por el lanzamiento de un sorteo o promoción por parte de la cuenta en Instagram. Es en ese momento cuando los ciberdelincuentes aprovechan para crear uno o varios perfiles que se hacen pasar por la empresa que está haciendo el sorteo.
Es muy sencillo, basta con crear un perfil con un handle (lo que va detrás de la @), similar al de la marca, cogen su foto de perfil, se ponen el mismo nombre y copian la biografía que tiene. “Al tratarse de perfiles no personales, sino de negocios, estas cuentas suelen estar abiertas, es decir, no es necesario ser seguidor para poder acceder a su información”, indica la OSI en su página web.
Hace unos meses también os contamos que la tienda de bicicletas Biciclasica había anunciado un sorteo de 5 bicis a través de su cuenta de Instagram, y que en tan sólo unas horas había recibido miles de participaciones. Como se puede ver en las imágenes, los perfiles que se crearon eran idénticos al original, aunque eso sí tenían menos seguidores y ninguna publicación, dos elementos que nos deben hacer sospechar.
El sorteo es la excusa perfecta de los ciberdelincuentes para intentar timar a los participantes, “ya que contactan con los seguidores haciéndoles creer que han ganado el premio y que para hacerlo efectivo deben seguir un enlace que redirige a una web fraudulenta”, añade la OSI.
Una vez se crean estas cuentas falsas, envían un mensaje privado a las personas que han participado en el sorteo (estas se pueden identificar fácilmente porque, por lo general, para participar en el sorteo se pide a los participantes que den a “me gusta” y dejen un comentario en el post del mismo). El mensaje que reciben las potenciales víctimas también es siempre muy parecido: “Felicidades. Hoy tiene mucha suerte!! Usted ha sido seleccionado al azar por nosotros como el ganador”, “Felicidades por haber sido ganador del sorteo” o similares.
Es en este punto cuando piden al usuario que se registre a través de un enlace para, supuestamente, conseguir el premio. Pero lo que ocurre es que intentan que las personas obtengan una suscripción supuestamente gratuita para visualizar películas y otros contenidos de entretenimiento, aunque explican que, para hacerse efectivo, deben facilitar datos bancarios. Sin embargo, en Maldita.es hemos visto cómo estas suscripciones acaban cargando a la víctima alrededor de 50 euros al mes, o cada 20 días.
La Policía Judicial asegura que en muchos casos no hay denuncia formal
Desde el Grupo de Delitos Tecnológicos de la Policía Judicial explican a Maldita.es que “no existen datos cuantitativos en referencia a este modus operandi concreto, pero es una tendencia que se observa. Además, intuyen que “existe una cifra negra al respecto al no materializarse en muchos casos la denuncia formal y quedarse en meras quejas o comunicaciones”.
También indican que “no se puede hablar de forma general sobre esta conducta ya que esta suplantación responde a casuísticas distintas y habría que analizar cada hecho de forma individual”. Manifiestan que “no existe un patrón concreto” de quienes realizan esta práctica, pudiendo ir “desde particulares hasta organizaciones criminales, tanto del ámbito nacional como internacional”.
Preguntados por los delitos que podrían estar cometiendo quienes la realizan, la Policía Judicial declara que “el delito de suplantación de identidad propiamente dicha”, según su experiencia, “no suele tener mucho recorrido en los tribunales ya que la jurisprudencia marca una serie de condiciones que no se cumplen en estos casos, como el carácter persistente en el tiempo y ejercer además derechos, deberes y acciones jurídicas de la persona usurpada”. No obstante, explican que esto no significa que queden impunes sino que, por lo general, se enfrentan a delitos “a los que esta supuesta suplantación acompaña, como son amenazas, injurias, calumnias, revelación de secretos” o, en estos casos mencionados, estafa.
Por último, aseguran que los usuarios afectados pueden denunciar por la vía administrativa acogiéndose a la Ley de Protección de Datos.
¿Y, qué hacemos si recibimos un mensaje de un perfil falso?
Si un perfil falso te envía un mensaje con un enlace a través del cual te piden los datos bancarios, en el caso de que los hayas proporcionado, ponte en contacto lo antes posible con tu entidad bancaria e infórmales de lo sucedido.
Si no los has dado, recuerda estos consejos:
- Desconfía de promociones o sorteos online que requieran facilitar información personal.
- Si algún perfil de una red social se pone en contacto contigo mediante mensaje directo sin que lo esperaras, no te fíes y trata de averiguar si está suplantando una cuenta. En Maldita.es ya te explicamos que puedes comparar el perfil de la marca que dice ser con la oficial mediante elementos como el número de seguidores (estas cuentas no suelen tener muchos), o el handle, es decir, el nombre de usuario que va detrás de la @.
- Y por último, no facilites tus datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) o bancarios en cualquier página.
Si tienes un negocio o eres un particular y has sido víctima de este fraude, ya sea porque han suplantado tu cuenta o porque has caído en el timo y has proporcionado tus datos, puedes escribirnos a [email protected] contándonos tu historia.
En este artículo han colaborado con sus superpoderes los malditos y expertos en marketing digital y social media, Carmen Ramírez y José Antonio Rodríguez.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 01/09/2021