"Un expolicía perdió su casa, su carro y su novia. ¿Qué perdió primero? El ganador obtendrá 1.000€". Con mensajes como este se están intentando hackear cuentas de Instagram. Desde un perfil previamente hackeado, publican una story con el acertijo y lo envían por mensaje directo a los seguidores de la cuenta. Una vez la víctima responde, le piden su Bizum o PayPal para recibir el supuesto premio.
La víctima facilita su número de teléfono, le llega un SMS con un link y se lo manda al timador. Pero con ese SMS pueden robarnos nuestra cuenta y utilizarla para promocionar falsas inversiones en criptomonedas. Desde el Instituto Nacional de Ciberseguridad (INCIBE) aconsejan que ignoremos mensajes en los que nos pidan seguir unas indicaciones, como pinchar en un enlace o enviar información.
Cómo se produce el hackeo: engañan a la víctima para que envíe un SMS con el que pueden robarle el perfil
Anna Maria, una lectora de Maldita.es, recibió un mensaje directo de una conocida, con un acertijo con el que supuestamente podría ganar 1.000 euros. Creyó que era su conocida quien le escribía y no un timador: "Llevaba días publicando que había invertido 500 euros y que en tres horas había podido conseguir 5.000 euros. Se me hizo raro, aunque pensé que seguía siendo ella".
Cuando Anna Maria respondió, el contacto le pidió su número de PayPal o de Bizum. "Me dijo que le enviara una captura de un SMS en donde se viera el enlace que supuestamente ellos habían enviado para poder reclamar los 1.000 euros. Le pasé la captura porque pensé que con la imagen y el número de teléfono, no correría ningún peligro. Me dijo que a los cinco minutos me llegaría el dinero, pero lo que pasó es que me quitaron la cuenta", señala.
La víctima recibió emails de parte de Instagram en los que le avisaban de que se habían iniciado sesión en su cuenta desde Nigeria y que se había cambiado el correo electrónico y la contraseña asociados a su perfil:
"Días después, empezaron a hacer con mi cuenta lo mismo que con la cuenta que me contactó. Comenzaron a decir que había ganado X dinero en pocas horas. Incluso cogieron una foto mía, de mi perfil, para ponerla de fondo de pantalla y hacerle creer a mis seguidores que era yo realmente y que me había llegado a mí un ingreso de PayPal. También publicaron el mismo acertijo y se lo enviaron a mis contactos", explica Anna Maria.
Como vemos en las imágenes, desde la cuenta hackeada, los timadores hacen publicidad de un perfil de Instagram con el que supuestamente podremos ganar 5.000 euros con una inversión de tan solo 500. Pero, en general, debemos desconfiar si nos prometen ganancias de forma rápida con nuestra inversión y con una rentabilidad muy alta, como explica la Oficina de Seguridad del Internauta (OSI). En Maldita.es ya os hemos contado lo que debemos tener en cuenta si de verdad queremos invertir en criptomonedas.
Los suplantadores piden a las víctimas que se graben un vídeo para promocionar falsas inversiones en criptomonedas
Anna Maria se creó otra cuenta en Instagram para alertar a sus seguidores de que había sido hackeada. También le envío un correo a quien le había hackeado la cuenta y este le indicó que contactara con un perfil de Instagram para supuestamente recuperar su cuenta, pero no siguió las indicaciones:
"Entonces me empezaron a llegar mensajes de WhatsApp de los usurpadores, pero tampoco hice caso", explica. En esa conversación, el suplantador - que utiliza un número con prefijo de Nigeria - le asegura que la empresa le va a enviar los 1.000 euros de premio, pero que primero debe grabarse un vídeo "de apreciación muy breve antes de que el dinero llegue". Si lo hacía, supuestamente, también le devolverían la cuenta.
A través del 'buzón de timos' ([email protected]), nos habéis mandado otros casos muy similares en los que los timadores piden a las víctimas que se graben un vídeo asegurando que han recibido un dinero para poder recuperar sus cuentas. Esos vídeos los pueden publicar en la cuenta hackeada para seguir promocionando falsas inversiones en criptomonedas.
Por ejemplo, otra lectora de Maldita.es, que sufrió un hackeo en su perfil de Instagram, habló con el timador a través de WhatsApp, que también tenía un número con prefijo de Nigeria. Este le dijo que, para recuperar su cuenta, debía grabarse un vídeo en el que dijera que había invertido 500 euros en Bitcoin y había recibido un pago de 1.500 euros y que se trataba de una inversión real y legítima.
Consejos para evitar el hackeo de nuestro perfil
El INCIBE aconseja no seguir las indicaciones que se nos pueden dar en mensajes de carácter sospechoso, fraudulento o de origen desconocido. Recalcan que estos mensajes no suponen una amenaza siempre y cuando no se sigan sus indicaciones (como pinchar en links o enviar información) ni se faciliten datos personales o bancarios. En este sentido, Miguel Ángel Lucero García, maldito que nos ha prestado sus superpoderes y experto en ciberseguridad, apunta que podemos ponernos en contacto con nuestro conocido por otra vía para verificar que es él quién nos está solicitando la información.
En este caso, Anna Maria consiguió recuperar su perfil contactando con Facebook. Si nos han hackeado el perfil, Lucero García recomienda que avisemos a nuestros contactos del ataque y lo denunciemos ante las autoridades y el INCIBE. Para recuperar nuestra cuenta, debemos seguir las indicaciones de Instagram. También podemos seguir los consejos de la plataforma para aumentar la seguridad de nuestro perfil.
En este artículo ha colaborado con sus superpoderes el maldito Miguel Ángel Lucero García, especialista en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 04/08/2022