Hackers secuestran cuentas de influencers en Instagram

Ser influencer en Instagram se ha convertido en un peligro para los propietarios de la cuenta, pues recientemente se han vuelto en un blanco ideal de los ciberdelincuentes.


Hackers secuestran cuentas de influencers en Instagram
Fotografía por TY Lim / Shutterstock

Ser famoso en redes sociales y tener miles de seguidores puede ser muy beneficioso y atractivo para quienes disfrutan de compartir sus experiencias con los demás, pero también puede acarrear muchos problemas.

Un reciente análisis de la compañía de ciberseguridad Kaspersky Lab ha descubierto que existen grupos de ladrones que buscan aprovecharse de los influencers con las cuentas más populares para apropiárselas o bien extorsionarlos para recuperarlas.

¿En qué consiste esta modalidad de ataque?
Se trata de un esquema de phishing que secuestra los perfiles de las personas con un alto número de seguidores en Instagram, tras enviarles una falsa notificación de violación de derechos de autor.

 "Su cuenta se eliminará permanentemente por infracción de derechos de autor", afirma una notificación por correo electrónico que parece oficial.

Incluso cuenta con  el encabezado y el logotipo habitual de Instagram, y la dirección de correo electrónico de quien envía es muy parecida a la legítima: en la mayoría de los casos es mail@theinstagram.team o info@theinstagram.team. 

El correo electrónico informa que el dueño del perfil de Instagram tiene solo 24 horas, en algunas versiones 48 horas, para apelar mediante el botón de "Registrar una queja".

Si hace clic en él, el usuario termina en una página de phishing convincente, en la que, además de incluir el enlace para que el usuario pueda “Apelar”, muestra una imagen sobre la protección de los derechos de autor.

Para hacer que la estafa parezca aún más legítima, ofrecen una larga “Lista de opciones de idioma” que no funciona, ya que al seleccionar cualquier idioma, la página siempre permanece en inglés.

Hackers secuestran cuentas de influencers en Instagram
Imagen: ejemplo de correo electrónico con falsa notificación / cortesía, Kaspersky Lab 

Apenas el usuario hace clic en el enlace para "Apelar", se le invita a ingresar sus datos registrados Instagram.

Inmediatamente después de hacerlo aparece otro mensaje que dice: "Necesitamos verificar sus comentarios y si su cuenta de correo electrónico coincide con la cuenta de Instagram".

Al hacer clic en "verificar mi dirección de correo electrónico", el usuario verá una lista de proveedores de e-mail. Tras elegir la suya, se le exigirá enviar tanto su dirección de correo electrónico como la contraseña de su cuenta de e-mail.

Al cumplir con estas instrucciones aparece la respuesta "Revisaremos sus comentarios", pero solo durante unos segundos. Después de eso, el usuario será redirigido a un sitio web de Instagram real, otro truco simple que otorga credibilidad adicional a la estafa.

Una vez que los datos de los usuarios son enviados a los atacantes, estos pueden acceder al perfil de Instagram del influencer y modificar la información necesaria para apropiársela. De igual forma, podrán tomar control del correo electrónico.

Desde allí, los cibercriminales pueden exigir un rescate por las cuentas o comenzar a propagar spam, así como todo tipo de contenido malicioso usando las cuentas robadas.


"No es la primera vez que los influenciadores en Instagram son blanco de ataques. La primera ola de phishing trataba de convencer a los usuarios a que solicitaran un sello de cuenta 'verificada”, dice Fabio Assolini, analista senior de Seguridad de Kaspersky Lab. 


¿Cómo prevenir ser víctima de un ataque similar?

  • No hacer clic en enlaces sospechosos.
  • Siempre verificar que en la barra de direcciones (URL) aparezca instagram.com y no una variante de ellas, como instagram.security-settings.com, por citar un ejemplo
  • Usar solamente la aplicación oficial de Instagram de la tienda oficial, no alternativas
  • Nunca ingresar los datos de inicio de sesión de la cuenta para la autenticación en servicios y aplicaciones de terceros.
  • Habilitar la autenticación de dos factores tanto en Instagram como en su cuenta de correo electrónico.

Version Digital NEO

NEO junio