Mensajes privados de Instagram fraudulentos: cuidado con estos enlaces

Este mensaje que te pide votar en un concurso de "coaching" es un fraude

Nos habéis consultado por un mensaje directo de Instagram que procede de un contacto que dice textualmente: "Perdón por molestarte, por favor, estoy participando en el premio al mejor coaching de vida en línea". Posteriormente, piden hacer clic en un enlace para votar, que lleva un portal web en el cual hay un formulario.

Meta e INCIBE confirman a VerificaRTVE que se trata de un fraude. Hemos analizado el enlace al que piden acceder para votar a través de la herramienta VirusTotal y la plataforma concluye que se trata de un caso de ‘phishing’. El mismo perfil a través del que enviaron el mensaje denunció posteriormente que le ‘hackearon’ la cuenta.

Hemos contactado con el INCIBE y aseguran que la dirección URL "redirigía a un sitio que simulaba un inicio de sesión de Instagram con el objetivo de obtener credenciales de los usuarios". También aclaran que esa redirección ha sido modificada y aparentemente no está activa, pero "este antecedente implica que la página podría haber sido utilizada con fines fraudulentos" y que, por tanto, podría utilizarse de nuevo para ello.

Este mensaje directo que pide votar en un concurso de fotografía es un fraude

No es la primera vez que una falsa votación sirve como ‘gancho’ en un intento de fraude. Hace unos meses, nos consultasteis por un mensaje directo en Instagram en el que invitaban a votar en un concurso de fotografía, también a través de un formulario en el que había que introducir la cuenta de correo o de Instagram.

Cuidado si recibes un mensaje directo de Instagram que te pide votar en un concurso de fotografía, es un fraude

El Instituto Nacional de Ciberseguridad (INCIBE) confirmó que se trataba de un caso de ‘phishing’. Alertaban de que el enlace lleva a falsos portales de inicios de sesión que suplantan tanto a Microsoft como a Meta y que, cuando la víctima introduce su nombre de usuario y su contraseña, "los envía realmente al atacante, quien se apodera de ellas".

El mensaje sobre una "infracción" en tu cuenta de Instagram es falso

En VerificaRTVE también te alertamos sobre un mensaje privado de Instagram que suplanta a su empresa matriz, Meta. El remitente se presenta como el ‘Equipo de Soporte de Instagram’, avisa de que se ha producido "una infracción" en la cuenta y ofrece rellenar un formulario para evitar que el cierre del perfil en 48 horas.

Cuidado con el mensaje que te alerta de una "infracción" en tu cuenta de Instagram, es falso

Sin embargo, ese mensaje no procede de Instagram. La web no guarda relación con las páginas oficiales de la plataforma, sino que la suplanta para dirigirnos a una web maliciosa. El INCIBE también aclaró que el dominio al que redirigían no guardaba ninguna relación con Meta.

INCIBE alerta de la estafa del ‘sugar baby online’

Según denunció el propio INCIBE en su pagina web, se produjo otra estafa mediante mensajes directos de Instagram en la cual ofrecían a una mujer de mediana edad "ser su sugar baby online" a cambio de 5.000 euros mensuales. La usuaria decidió responder al mensaje para conocer en qué consistía la propuesta y su seguidor contestó que quería que fuese su amante y le pidió una serie de datos personales: nombre, apellidos y ciudad en la que vivía.

Ante la elevada cantidad de dinero que ofrecía, la mujer sospechó que podría tratarse de un fraude y lo denunció a INCIBE. Los expertos en Ciberseguridad recomiendan en este tipo de casos cortar cualquier comunicación con este usuario, bloquearlo, reportar su actividad a la red social (en este caso, Instagram) y analizar el dispositivo móvil con algún sistema antivirus.

Consejos para evitar estas ciberestafas y los robos de cuentas

El INCIBE nos traslada algunas recomendaciones para no caer en estos intentos de estafa que utilizan los mensajes privados de Instagram para llegar a sus potenciales víctimas. En primer lugar,"no se debe hacer clic en mensajes que lleguen por mensaje directo" si no se esperaba ese mensaje o si "proviene de una cuenta desconocida".

Además, debemos "verificar cuidadosamente la dirección web" a la que accedemos antes de introducir cualquier dato o contraseña. INCIBE avisa que "los dominios oficiales" suelen estar claramente identificados y que los estafadores normalmente usan direcciones URL con "variaciones extrañas" o "errores ortográficos".

01.48 min

Tu Guía Digital - Protégete de las ciberestafas

INCIBE aconseja activar la verificación en dos pasos en todas nuestras cuentas de redes sociales, así, "aunque alguien obtenga la contraseña, necesitará además otro factor para acceder". En el caso de Instagram, Meta recomienda configurar una dirección de correo electrónico, un número de teléfono, WhatsApp o una aplicación de terceros para que se pueda confirmar la identidad del usuario al iniciar sesión desde un dispositivo nuevo.

Los expertos en ciberseguridad también recomiendan "utilizar contraseñas únicas, robustas y diferentes", de modo que "si una se ve comprometida no arrastre otras cuentas". Añaden que los sistemas operativos, las aplicaciones y los navegadores deben estar actualizados.

¿Qué hacer si te roban las contraseñas de Instagram?

El Instituto Nacional de Ciberseguridad explica que el ciberdelincuente consigue las claves de acceso a nuestra cuenta mediante ingeniería social: puede hacerse pasar por la red social o ganarse la confianza del propietario de la cuenta, como en el caso de los concursos. Cuando la víctima proporciona sus datos, el ciberdelincuente puede cambiar la contraseña de Instagram e impedir que el propietario de la cuenta la recupere.

Si esto sucede, Incibe señala que el usuario recibirá en su correo una notificación de Meta del cambio de contraseña, que aún permite modificarla. Una vez dentro de la sesión, hay que entrar en el apartado de ‘Configuración’ y cerrar la sesión en todos los dispositivos no reconocidos que hayan entrado a la cuenta.