¡Cuidado con tu cuenta de Instagram! Especialistas en ciberseguridad advirtieron esta semana sobre una ola de ataques dirigidos a obtener acceso a cuentas en la plataforma de fotos, stories y reels.
Si bien todas las aplicaciones tienen debilidades y son potencialmente vulnerables, la gran cantidad de usuarios de la app de Meta la convierte en un objetivo especialmente rentable para los ciberdelincuentes hoy en día.
Este tipo de fraude se aprovecha de la urgencia y el miedo, y la modalidad más común es a través de un mensaje directo donde los estafadores se hacen pasar por el soporte técnico oficial de Instagram.
Leé también: Así es la peligrosa estafa con avisos falsos que circula en las stories de Instagram y vacía tu homebanking
La excusa más utilizada en esos mensajes es que la cuenta de la víctima infringió alguna norma, generalmente relacionada con derechos de autor (copyright), por ejemplo, por subir una canción protegida en un reel o una historia.
Esta táctica apunta a generar presión, sobre todo en cuentas verificadas, cuyos propietarios suelen depender de ellas para trabajar y son más susceptibles a ceder para resolver el supuesto problema.
La clave de esta estafa es la exigencia de una acción inmediata para evitar una supuesta consecuencia grave, como perder la verificación o el acceso a la cuenta. Una vez planteada la amenaza, el estafador indica a la víctima que debe dirigirse a un enlace proporcionado en el mensaje.
Este enlace está diseñado para parecerse al sitio oficial de Instagram, pero no será Instagram.com ni un subdominio oficial. Podría ser una dirección similar como soporte-instagram.com, con el objetivo de confundir y engañar visualmente al usuario.
Al acceder a este sitio fraudulento, se le pedirá al usuario que se “autentique”. Esto significa que deberá ingresar su nombre de usuario y contraseña. Si la víctima tiene activada la verificación en dos pasos (o Doble factor de autenticación), es muy probable que también le soliciten el código que recibe por SMS o a través de una aplicación. Al ingresar estos datos en el sitio falso, el usuario entrega su usuario, contraseña y código 2FA a los estafadores.
Leé también:Estafas bancarias: cómo hacer la denuncia y diez consejos para prevenir engaños digitales
¿Cómo evitar caer en la trampa?
Es fundamental saber que, aunque Instagram puede enviar notificaciones, nunca solicitarían este tipo de información personal de esta manera, ni pedirían al usuario que se autentique en un dominio externo.
Hay formas concretas de verificar la autenticidad de un aviso:
- Se puede chequear las notificaciones de seguridad directamente dentro de la configuración de Instagram (en Ajustes, sección Seguridad). Si un aviso es legítimo, debería aparecer allí.
- Las plataformas suelen enviar una copia de estas notificaciones importantes por correo electrónico, y esa copia sí debería llegar desde un dominio correcto y oficial.
Más allá de verificar los mensajes, y para evitar caer en otras trampas de ciberdelincuentes en Instagram y en otras redes sociales, Alan Mai, especialista en ciberseguridad y CEO de Bloka, recomienda:
Activar la verificación en dos pasos (doble factor de autenticación - 2FA)
Esta capa adicional de seguridad es vital para proteger identidades en cualquier plataforma que la ofrezca. Aunque no es obligatoria al registrarse (para facilitar la entrada de nuevos usuarios), es indispensable activarla en todas las cuentas posibles (Instagram, Facebook, X/Twitter, correo electrónico, etc.).
- Priorizar aplicaciones de autenticación sobre SMS para el 2FA
La forma más segura de implementar el 2FA es usando una aplicación como Google Authenticator. Estas apps generan contraseñas de única vez (OTP) que expiran rápidamente y son más difíciles de interceptar que un SMS. Además, son gratuitas y fáciles de vincular.
- Proteger el correo electrónico con 2FA
La cuenta de correo es un punto de convergencia para muchos servicios digitales. Si un atacante logra acceder, puede usarlo para tomar control de otras plataformas vinculadas. Asegurar el email con 2FA es crucial.
- Cerrar sesiones siempre
Evitar dejar sesiones de cuentas abiertas (especialmente en computadoras ajenas o compartidas). Esto crea un vector de ataque potencial, una ventanita sin blindar que puede ser explotada.
- Desconfiar de ofertas increíbles
En eventos como el Hot Sale o cualquier compra online, tomarse un minuto de frialdad para pensar. Si una oferta parece demasiado buena como para que sea cierto, probablemente no lo sea. Los estafadores juegan con la urgencia para apurar a sus víctimas a que actúen rápido sin pensar.
- Validar la información por otro medio oficial
Si recibís una oferta o un aviso sospechoso, buscala directamente en el sitio web oficial o a la red social de la empresa o plataforma involucrada para verificar si es real. No confíes únicamente en el mensaje recibido.
- Aplicar sentido común y pedir una segunda opinión
Muchas estafas aprovechan situaciones que, con un momento de reflexión, resultan ilógicas (ej. pedir una contraseña para vender algo). Pedirle a otra persona qué le parece la situación puede ayudar a detectar algo que uno no ve debido al sesgo o la prisa. Los estafadores buscan la rapidez para explotar nuestra vulnerabilidad emocional.
