María es la propietaria de una tienda de moda de reciente creación que pretende abrirse un hueco en el panorama nacional del sector y crecer de manera sostenida. Para ello, dispone de una página web de comercio online y tiene presencia en las principales redes sociales.

Su fundadora sabe muy bien que hoy en día Instagram supone el escaparate perfecto para su negocio y gestiona personalmente la presencia de su tienda en esta red social de manera muy activa. Fruto de su gestión constante, los seguidores de Instagram van aumentando semana tras semana, aunque actualmente su ritmo de crecimiento se ha estancado.

María piensa que es el momento de desmarcarse de la competencia e iniciar una campaña de marketing en esta conocida red social. Después de unos días de campaña comercial, las cifras de seguidores y de ventas se incrementan notablemente y el correo se satura. María está sobrepasada intentando atender a sus clientes online y preparar pedidos.

Entre todos los correos recibidos, María recibe a menudo notificaciones de Instagram informándole del avance de su campaña. Ayer fue el turno de aceptar las nuevas condiciones sobre las políticas de privacidad y hoy ha recibido un correo para que valide su cuenta de Instagram. Ya que el volumen de trabajo es alto, el tiempo apremia. Por ello, María sigue los pasos indicados para poder seguir atendiendo a sus clientes lo antes posible.

Al día siguiente, cuando llega a su tienda, enciende su equipo, consulta su correo y abre Instagram para comprobar cómo va su campaña comercial y modificarla si fuera necesario. Sin embargo, esa mañana en la pantalla de su ordenador se muestra un mensaje indicando que las credenciales de acceso a la red social no son correctas. Por más que lo intenta no lo consigue, y aunque ha seguido los pasos para recordar su contraseña, esto tampoco parece funcionar.

Además, su página de Instagram no parece mostrar información relacionada con su tienda. Entonces María se pregunta: “¿Qué ha ocurrido?”

A vueltas con la ingeniería social…

Este es el correo que recibió María:

Correo simulado de validación de credenciales de Instagram. Se pueden identificar algunos fallos de redacción y ortográficos.

María recibió un correo como el de la imagen, aparentemente de Instagram, en el que le pedían validar su cuenta debido a cambios recientes en las políticas de privacidad. Con diligencia, lo atendió, haciendo clic en el enlace y siguiendo las instrucciones, pero, dada la celeridad con la que gestionaba su correo diario, María no se dio cuenta de algunos detalles importantes.

El correo recibido parecía provenir de Instagram, sin embargo, los ciberdelincuentes emplearon una técnica conocida como email spoofing, con la que consiguen engañar a sus víctimas haciéndoles creer que el remitente que ven es legítimo cuando en realidad es una suplantación bien elaborada. María había sido víctima de un ataque basado en ingeniería social.

En qué consiste el engaño

Los ciberdelincuentes saben que en ocasiones lo más sencillo es lo más eficaz, así que elaboran un mensaje con un remitente que no levante sospechas. Suplantan a una reconocida red social con sus logotipos y contenidos, pero modificando los enlaces y dirigiendo a las víctimas a servidores ilegítimos controlados por ellos.

Cuando María vio el correo y pinchó en el enlace, accedió a una página similar a la de Instagram pero ilegítima. En ella, introdujo su usuario (correo electrónico) y contraseña y recibió un mensaje de que el proceso se había realizado correctamente y su cuenta de Instagram no sería bloqueada. ¡Les acababa de dar, sin darse cuenta, sus credenciales de acceso a Instagram!

Así, los ciberdelincuentes ya tenían el control de la cuenta de María. En primer lugar, cambiaron su contraseña y su correo electrónico de recuperación para que su dueña legítima no pudiera recuperarla.

¿Qué podía haber hecho María?

Como norma general, podríamos decir que no fue una buena práctica de María acceder a enlaces que llegan por correo electrónico en los que se nos solicitan datos personales o confidenciales. ¡Debería haber sospechado!

En todo caso, antes de acceder a cualquier enlace, María tendría que haber verificado que el remitente era legítimo y que el enlace al que le dirigía contaba con un certificado “https” válido y era consecuente con el remitente. Si nos ponemos sobre el texto, cuyo enlace nos incitan a seguir, veremos en el navegador la URL entera y podremos ver a dónde nos llevará. Si no coincide con la red social en cuestión, no deberíamos seguirlo.

Generalmente, conviene prestar atención a los detalles de este tipo de correos, pues suelen estar mal redactados y contener faltas de ortografía evidentes. En otras ocasiones, estos correos incluyen imágenes mal formateadas, como logotipos estirados o borrosos. Además, podemos analizar la página a la que nos conduce el enlace fijándonos en los enlaces que contiene, pues a menudo no funcionan o conducen siempre al mismo sitio, lo que nos puede desvelar que es una página ilegítima. También podemos comprobar en el pie de página de esta web si tiene todos los avisos legales que nos pueden orientar sobre la legitimidad de la página. Todos estos detalles ya nos darían pistas de que es una página que suplanta a la real.

Por otro lado, María tendría que contar con herramientas de prevención adecuadamente actualizadas, pues son de gran ayuda para detectar posibles phishings.

Como norma general, los siguientes consejos permitirán mantener a salvo nuestras redes sociales, y por tanto nuestra identidad:

• Emplear una cuenta de correo solo para registros. De esta forma, no se compromete la dirección de correo electrónico principal.
• Disponer de una cuenta de recuperación con todas las medidas de seguridad activadas por si olvidamos o perdemos la contraseña en un momento dado.
• Emplear la autenticación de doble factor para acceder al correo y a las redes sociales. En Instagram podemos encontrar este ajuste en la esquina superior derecha: «Autenticación», y haciendo clic en «Solicitar código de seguridad». Eso sí, previamente hará falta haber indicado un número de teléfono para poder recibir los códigos.
• Configurar «No recordar contraseñas» en los dispositivos para facilitar el acceso. Aunque es algo más incómodo, garantiza que nadie accederá directamente a nuestras cuentas si tiene acceso físico o remoto al dispositivo.
• Emplear contraseñas difíciles de adivinar que contengan al menos ocho caracteres (recomendados 14), con números, letras y símbolos.

Si hemos caído en la trampa

María ha facilitado sus datos a los ciberdelincuentes. La situación se complica. Si le han impedido el rescate de la cuenta, es decir, no puede recuperarla, María tendrá que contactar con la red social para solicitar que le restablezcan el acceso, previa verificación de su identidad, un proceso que en ocasiones puede tardar semanas en completarse.

En cualquier caso, denunciar este tipo de acciones antes los cuerpos y fuerzas de seguridad del Estado en sus correspondientes portales web, será de gran ayuda para que otros usuarios no se vean afectados, y para que, en caso de que el ciberdelincuente sea detenido, se pueda restablecer el acceso a la cuenta.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto relacionado con el uso de la tecnología e Internet.