El nuevo modo de operación de los ciberdelincuentes está basado en ofrecer la “deseada insignia azul” de Instagram. Esta verificación oficial de las cuentas es de lo más esperado por la mayoría de los usuarios que tienen un gran número de seguidores y buscan la forma de cumplir todos los requisitos para que a sus cuentas les sea otorgada la “tan esperada insignia”. Sin embargo, para obtener esto hay que cumplir una serie requerimientos bastantes estrictos, no es tan sencillo como solicitarla y obtenerla.
Ahora bien, aprovechando esta necesidad del colectivo, los actores maliciosos han decidido emplear esta nueva táctica para ofrecer una “verificación oficial de la cuenta de Instagram a sus usuarios”. Los analistas de amenazas de Vade descubrieron un esquema para engañar a la gente haciéndoles creer que eran elegibles para la insignia azul de Instagram. La estafa comenzó el 22 de julio de este año y han estado ocupados enviando mensajes falsos. El 8 de julio y el 9 de agosto, en particular, los estafadores enviaron mensajes a más de mil cuentas.
¿Cómo es el procedimiento?
El usuario recibe un correo electrónico que dice ser de "ig-badges", informándole que Instagram cumple con los requisitos para otorgarle la insignia azul.
Luego el usuario abre el enlace del correo electrónico, rellena el formulario y la verificación está prácticamente lista.
Para añadir urgencia a la situación, el correo electrónico indica que se debe responder en un plazo de 48 horas o el formulario será eliminado.
Al hacer clic en el enlace del correo electrónico, el usuario accede al formulario, que hace todo lo posible por parecer un sitio de verificación legítimo, con los logotipos de todas las aplicaciones de Meta. Sin embargo, se refieren a la empresa como "Facebook", lo que daña la credibilidad.
El formulario pide el nombre de usuario de Instagram, nombre real, correo electrónico y número de teléfono, antes de pedir finalmente contraseña. Esta última petición es para "verificar" que el usuario es el dueño de la cuenta.
Una vez que los datos son correctos dicen que se pondrán en contacto en un plazo de 48 horas para confirmar el distintivo azul en la cuenta. Evidentemente, eso último no ocurre y la gente de ig-badges tiene ahora la información de acceso de la cuenta).
Si la persona tiene activada la autenticación de dos factores, la contraseña no será suficiente para que los hackers entren en la cuenta.
La manera segura y oficial de la red social para instalar la insignia azul en la cuenta es solicitarla y cumplir los requisitos relativamente estrictos. Es bastante fácil demostrar quien es el propietario de la cuenta y que ninguna otra cuenta que represente solicitará la verificación. También es sencillo asegurarse de que el perfil está completo, con una foto de perfil, una biografía y que es público para todos. Lo difícil es demostrar porqué la persona merece la insignia en primer lugar. Instagram necesita la cuenta sea "notable", es decir, conocida y con muchas búsquedas. Es bueno que el usuario aparezca en varias fuentes de noticias, pero es malo que haya pagado por esas promociones. Esencialmente, es necesario tener seguidores, sin garantías de ningún tipo.
Todo eso para decir que no hay una realidad en la que Instagram elija la cuenta para la verificación de la nada. Si el usuario recibe uno de estos correos electrónicos, lo recomendable es eliminarlo de inmediato.