Todos los días nos vemos conectados a ellas y utilizándolas para enviar mensajes de todo tipo a amigos y conocidos. Muchos de nosotros incluso las utilizamos de manera constante en nuestro trabajo para contactar con clientes, proveedores y todo tipo de actividades comerciales. Para muchos son una forma cotidiana de vida y para otros son una manera de ganarse la vida online.

¿Pero que ocurre si recibo un ciberataque y me roban mis datos de identidad, hackean mis cuentas de instagram?

El problema de un hackeo de tus redes sociales es el consecuente secuestro del perfil y de la identidad asociada a ella.  En una persona normal (como probablemente tu o yo) el secuestro de una red social puede suponer perjuicios sociales, emocionales pero rara vez económicos. No obstante para grandes celebridades, influencers, youtubers o agencias de marketing lo que se secuestra realmente son también todas las propiedades, campañas y demás de Facebook Business. Para cuando las personas involucradas han sido atacadas y sus cuentas hackeadas, el perjuicio economico que comienza a suponer en ellos es bastante grave.

Una empresa de marketing puede tener bajo su control varias cuentas de facebook, páginas, cuentas publicitarias de instagram. Un ciberataque como ese podría frenar en seco la mayoría de sus actividades comerciales. Y entonces el perjurio no solamente es para ellos, sino también para los clientes que gestionan.

Lo mismo también puede ocurrir con las cuentas de WHatsapp, las cuales ultimamente sufren robos y ataques de parte de sujetos que envian un código de seis cifras a usuarios que ignoran su significado y que una vez lo comunican , permite al atacante reestablecer el control del teléfono. A menudo recuperar el control de esta cuenta puede durar hasta una semana.

A menudo y en la mayoría de casos (cada vez más elevados) seguido del robo de acceso y credenciales a las víctimas les llega una petición de rescate (generalmente en algún tipo de criptomoneda) para poder recuperar sus cuentas y sus claves de acceso. ¿Pagarías 300 euros por recuperar el acceso a tus cuentas sociales con todos sus datos? ¿Cederías ante este chantaje? Este tipo de chantajes están tipificados como DELITO en el código penal y es importante saber cómo defenderse y cómo recuperar el acceso y minimizar los daños que un tercero desconocido pueda lograr de nosotros.

Por lo general, existen diversas maneras de hackear un perfil de Facebook o Instagram. La más genérica consiste en la de utilizar la página de reestablecimiento de contraseña, que a menudo envía un número de seis dígitos al  móvil del usuario. De manera simultanea, se crea una página web falsa o un correo electrónico que se le hace llegar al usuario alertándole de que debe de introducir ese código en el sistema para una validación de seguridad.

En realidad, lo que están haciendo es reenviar ese número al atacante, que lo utiliza para reestablecer la contraseña y robar el acceso al usuario. Otra manera de robar la identidad es mediante el robo de cookies a través de páginas de phishing bien elaboradas las cuales simulan el acceso y la identificación con Facebook pero que en realidad lo que hacen es sustraer el token de identificación y autenticación.

Lo más importante es confiar en el dominio .com  o .es o .... Siempre que tengamos la duda, tenemos que estar seguros de la dirección URL del dominio donde nos estemos conectando. A menudo los asaltantes se aprovechan de la ignorancia o dejadez del usuario (cuando ha bajado la guardia) a través de nombres de páginas web que parecen reales pero que se encuentran en nombres similares, o tienen nombres muy parecidos para sustraer los datos de acceso. 

Un buen ejemplo es como en el Banco Santander ( o cualquier otro banco ) y sus pasarelas de pago que suelen tener subdominios (como https://acceso.bancosantander.com). Los ataques de phishing tratan de crear réplicas de páginas web perfectas (muy muy MUY fáciles de hacer) y ponerlas en servidores similares (como https://acceso.bancosantander.secure.domnet.com). Esta URL podría despistar al usuario, el cual confiaria en la aparente normalidad de dicha página web pero al introducir las credenciales de acceso, la web tan solo tiene que redirigir tu petición a la web original y la sustracción ha tenido lugar sin que el usuario se haya dado cuenta.  Es importante fijarse bien en la URL del lugar al que nos estamos conectando.

Otra manera para protegerse es mediante una autenticación de dos factores, en las que cada vez que nos conectamos nos pedirán a parte de la clave, un código de confirmación. ¿Por qué se llama autenticación de dos factores? (2FA) 

Fácil y sencillo, porque se requieren de dos factores para verificar que eres quien dices ser. Algo que solo tú conoces, como tu la contraseña que solo tu sabes, y algo que solo tu posees,  como en este caso viene a ser tu teléfono móvil. 

El problema de perder una cuenta de Facebook (su acceso) o de Instagram es que hay tantísimas peticiones de reestablecimiento de acceso de accounts ya hackeadas por  terceros que Facebook e Instagram - siendo servicios gratuitos - no logran estar detrás de todos y cada uno de los casos.  La solución más efectiva está en la prevención.

¿Te han hackeado las claves de Whatsapp, Facebook o Instagram?

Podemos pensar que es una tontería, algo trivial o que no servirá para nada. En cierto modo podríamos tener hasta razón -  no creo que la comisaría de policía local sea capaz de recuperar nuestra cuenta en facebook - pero si que tiene todo tipo de validez y repercusiones. Tener y dejar constancia en el tiempo de algo que te ha ocurrido nos ayudará a una vez recuperado el control (si se recupera) poder defendernos ante un tribunal de cualquier cosa que nuestro atacante haya podido hacer a través de nuestras redes sociales a terceros. A menudo los terceros que roban estas credenciales utilizan las cuentas de facebook para realizar otras acciones sobre cuartas personas que podrían derivar responsabilidad civil o penal sobre nosotros. No, no te van a recuperar la contraseña, pero te puede salvar de un disgusto o mal trago.

Si necesitas ayuda o consultoría tecnológica sobre estos casos, no dudes en ponerte en contacto con nosotros.