“¡Regalo 125 000 USD! ¡Únete al proyecto a través del enlace en mi perfil!”. De repente, una popular bloguera rusa lanza un sorteo masivo de dinero en Instagram. Un rostro familiar, que habla con voz optimista y tono confiado, aparece en Historias. Todo parece demasiado bueno para ser verdad…
Y es porque lo es. No existe tal proyecto. La bloguera no ha lanzado nada. Simplemente, han secuestrado su cuenta. Además, los estafadores fueron más allá de los trucos habituales: no solo robaron el acceso y publicaron un enlace a un sorteo falso, sino que también crearon un nuevo vídeo a partir de imágenes antiguas y lo doblaron con una voz generada por redes neuronales. Lee la publicación completa para saber cómo se roban las cuentas de Instagram intercambiando tarjetas SIM y qué puedes hacer para protegerte.
Una campaña de estafa casi impecable
Con el auge de las herramientas de IA, los estafadores de repente se han vuelto “más inteligentes”. Antes, después de piratear a un bloguero, simplemente publicaban enlaces de phishing y esperaban que el público cayera en la trampa. Ahora pueden realizar campañas de relaciones públicas completas desde la cuenta robada. Esto es lo que hicieron los estafadores esta vez:
- Un vídeo corto. Escribieron un guion, le pusieron una voz falsa de la bloguera y editaron imágenes de sus Reels publicados anteriormente.
- Una publicación en texto. Publicaron una fotografía con una leyenda conmovedora sobre lo difícil que fue lanzar el proyecto, tratando de imitar el tono habitual de la bloguera.
- Cuatro Historias. Reutilizaron Historias antiguas donde la bloguera mencionaba un proyecto real, añadían un enlace a un sitio de phishing y las volvían a publicar.
Todo esto le da al proyecto falso un aire de legitimidad, ya que los blogueros a menudo utilizan contenido como este en diferentes formatos para promover iniciativas reales. Los estafadores no escatimaron esfuerzos e incluso incluyeron algunos testimonios de fans agradecidos. Falsos, por supuesto.
Testimonios falsos destinados a animar a más fans a participar
Analicemos el vídeo en detalle. A primera vista, parece sorprendentemente de alta calidad. Sigue todas las normas del blog: la temática (reformas del hogar), voz con narración en off, edición rápida. Pero, si se examina más de cerca, la ilusión se hace añicos. Echa un vistazo a la siguiente captura de pantalla: solo un vídeo tiene una marca de agua en la esquina superior izquierda, el de la versión gratuita de la aplicación de edición CapCut. Eso es falso. Los demás vídeos no tienen esta marca de agua, porque la bloguera real usa la versión prémium o edita con otra aplicación.
El primer vídeo es falso, creado por los estafadores
Hay otro detalle: los subtítulos. En todos sus vídeos reales, la bloguera utiliza texto blanco simple, sin fondo. En el vídeo falso, el texto es blanco sobre un fondo negro. Claro, los blogueros a veces cambian su estilo, pero generalmente las configuraciones como tipo de fuente y color se guardan en su software de edición y son congruentes.
¿Qué pasa si hago clic en el enlace del perfil?
Aquí es donde se pone interesante. ¿Qué tipo de “proyecto” promocionaban exactamente los estafadores y qué ocurre si se hace clic en el enlace?
La bio parece sospechosa
Si estás utilizando un dispositivo sin protección fiable (que advertiría si intentas visitar un sitio de phishing), aterrizarás en una página muy básica: una imagen llamativa con texto vistoso y el botón Reclama tu premio. Al hacer clic en dichos botones, generalmente se obtiene uno de dos resultados: se solicita que pagues una comisión o se solicita que introduzcas tus datos, supuestamente para recibir las ganancias. En cualquier caso, se te pedirá que compartas tus datos bancarios. Por supuesto, no hay ningún premio en camino: es puro phishing.
Una niña con dólares y un teléfono inteligente simboliza las riquezas que los esperan… a los estafadores después de robar tu cuenta bancaria
¿Cómo piratearon los atacantes la cuenta de Instagram de la bloguera?
Importante: Aún no existe una versión oficial de cómo se vulneró la cuenta. Es un caso muy visible y la bloguera lo ha denunciado a la policía. Actualmente, sospecha que fue víctima de un ataque de intercambio de SIM. En resumen, esto significa que los estafadores convencieron a su proveedor de telefonía móvil para que transfiriera su número de teléfono a una tarjeta SIM nueva. Hay dos formas principales de hacer esto:
- Método antiguo. Los estafadores falsifican un poder notarial y acuden físicamente a la oficina del proveedor de telefonía móvil para solicitar la sustitución de la tarjeta SIM.
- Nuevo método. Los delincuentes acceden a la cuenta en línea de la víctima a través del operador de telefonía móvil y emiten una eSIM a distancia.
El intercambio de SIM les permitió a los estafadores eludir la autenticación de dos factores y convencer al soporte de Instagram de que eran los verdaderos propietarios de la cuenta. Se pueden utilizar trucos similares con cualquier servicio que envíe códigos de verificación por mensaje de texto, incluidos los bancos en línea.
En cuanto a la tarjeta SIM original de la bloguera, se convirtió instantáneamente en un pedazo de plástico inútil: sin Internet, sin llamadas, sin mensajes de texto.
Cómo proteger tu cuenta de Telegram para que no la pirateen
Estas son las reglas básicas para evitar la mayoría de los tipos de piratería de cuentas, ya sea en aplicaciones de mensajería, redes sociales, foros u otros sitios:
- Utiliza la autenticación avanzada de dos factores con códigos generados por la aplicación en lugar de mensajes de texto (SMS). Para Instagram, también recomendamos añadir un método de respaldo: Configuración y actividad → Centro de cuentas → Contraseña y seguridad → Autenticación en dos pasos → Añadir un método de respaldo. Luego, descargar una aplicación específica para generar tus códigos de inicio de sesión.
- Instalauna protección fiable en todos tus dispositivos. La protección antivirus preinstalada bloqueará los enlaces de phishing y te protegerá contra varios malware.
- Crea contraseñas seguras y únicas. Si te falta imaginación, deja que Kaspersky Password Manager lo haga por ti y te mantenga a salvo.
- Sigue la regla de oro: cada servicio tiene su propia contraseña única. De ese modo, los piratas no tendrán acceso a todo de una sola vez.
- Pregúntale a tu operador de telefonía móvil si es posible prohibir por completo el servicio de forma remota o configurar un código especial que debes indicar en cada interacción, ya sea remota o en persona. Esto puede protegerte de ataques de intercambio de SIM.
Más información sobre cómo proteger tus cuentas contra la piratería: