“La verdad es que mirándolo a toro pasado... teníamos que habernos dado cuenta de lo que era. En nuestro caso lo que hicieron fue mandarnos un mensaje que decía que habíamos infringido unas normas de derechos de autor y que teníamos que verificar la cuenta antes de 24 horas si no queríamos que nos la cerraran. Es cierto que es raro que te manden un mensaje así por Instagram, pero a la vez nos mandaron otro al móvil con el código que había que meter en la página para verificar la cuenta. En ningún momento sospechamos y le terminamos dando todos los datos al señor turco”.
Es la historia de cómo un ciberdelincuente robó la cuenta de Instagram de Pikara Magazine hace pocos días. Se repite entre artistas, fotógrafos, periodistas, ilustradores, creadores de contenido y otros autores desde hace meses. Estos perfiles relevantes en Facebook e Instagram están sufriendo una avalancha de hackeos cuyo objetivo es arrebatarles el control de sus cuentas y monetizarlas a través de la publicidad, extorsionar a sus propietarios para que paguen un rescate por recuperarlas o emplearlas para robar otras cuentas.
El método de ataque es una suplantación de la identidad de las dos redes sociales. Los cibercriminales se hacen pasar por trabajadores de Facebook o Instagram, se ponen en contacto con personas o colectivos que gestionan cuentas de amplio impacto y tratan de engañarles para que pinchen en enlaces que llevan a páginas bajo su control. Estas webs parecen diseñadas por una de las dos redes, pero en realidad también son falsificaciones. Una de las trampas más habituales que emplean los hackers es la usada contra Pikara, una supuesta infracción de derechos de autor. Pero hay otras, puesto que el ciberataque se personaliza en función del objetivo.
Según varios expertos en ciberseguridad conocedores de la situación, una parte importante de los ataques provienen de Turquía. Para los creadores que lo sufren sus cuentas de Facebook e Instagram suelen ser un elemento clave para hacer llegar su trabajo a los usuarios, por lo que su secuestro puede suponer un duro golpe. “Son muchísimos años de curro. Para nosotras perder a las 56.000 personas que nos siguen es un drama. Mis compañeras me decían que podíamos abrir otro perfil, pero yo sabía que teníamos recuperarla como sea”, explica en conversación con este medio Andrea Momoitio, coordinadora la Pikara.
Pese a todo, la revista feminista ha tenido suerte. En apenas un día pudo recuperar el control de su perfil. “Fueron 25 horas de infierno”, recalca Momoitio, pero solo 25 horas al fin y al cabo. Otros afectados tardan semanas en recibir alguna comunicación por parte de Facebook después de alertar a la empresa de que un ciberdelincuente se les ha colado en la cuenta y ha cerrado la puerta por dentro. Recuperarla puede llevar meses, si es que se consigue hacerlo.
El ataque contra Pikara se solucionó tan rápido porque pudieron hablar con un ser humano, una persona al margen de la estructura algorítmica de Facebook. Como medio de comunicación se pusieron en contacto con el departamento de prensa de la multinacional, quien ayudó a poner en marcha una reclamación por un cauce que no pasara por los robots encargados de gestionar este tipo de peticiones. La historia del 'enchufe', de lograr hablar con una persona dentro de Facebook, o con una persona que conozca a otra persona que trabaja en la multinacional, se repite entre todos los afectados por los robos de cuenta con los que ha contactado elDiario.es.
El departamento de prensa fue también la salvación del colectivo artístico Twee Muizen (dos ratones, en holandés), con 11.200 seguidores en Instagram. “Nosotros nos cansamos de escribir a Facebook e Instagram sin obtener respuesta”, explican Cris y Denís, sus dos miembros. “Mientras la cuenta estuvo hackeada nos borraron casi todas las publicaciones, las de los últimos 5 años más o menos. Además intentaron hackear a otras cuentas desde la nuestra enviando miles de mensajes, mensajes que es imposible borrar porque hay tantos que no conseguimos ni llegar a los mensajes anteriores al hackeo”, relatan a este medio. Es una práctica habitual de los ciberdelincuentes: cambian el nombre del perfil y sus publicaciones para hacerse pasar por cuentas oficiales de Facebook o Instagram para atacar a otras cuentas desde él.
Twee Muizen pudo recuperar gracias a que un periodista de Verne informó de la epidemia de ciberataques que afecta a “decenas de ilustradores y fotógrafos. ”Fue solo cuando salió la noticia publicada que a través de este periodista pudimos recuperarla. Facebook se puso en contacto con Verne y estos a su vez con nosotros“, explican Cris y Denís vía correo electrónico a elDiario.es.
Además de prensa, otro departamento de Facebook que puede ser el clavo ardiendo al que agarrarse para revertir el ciberataque es el de marketing. Facebook es una empresa publicitaria y las agencias que tienen importantes cuentas de promoción también tienen acceso a las personas que trabajan en la multinacional. Así pudo recuperar la cuenta la disc jockey Fátima Hajji, dos meses después de perderla en un ataque similar.
El agujero también fue un “error tonto”, relata a este medio Israel Cea, su community manager. “Me llegó un email que nos habían enviado muchas veces antes. Era el típico mail de phishing, pero con un enlace con la apariencia de www.facebook.com, seguido de una barra y unos números. Si pones el cursor encima de ese link puedes ver que es una falsificación, porque en la parte inferior izquierda de la pantalla aparece el link real. En este caso no lo hice. Me pilló un día tonto”, lamenta. Todas las personas consultadas en este reportaje afirmaron conocer los métodos en los que se basan los ataques de phishing, pero un solo clic inoportuno basta para caer en la trampa.
“En el mail el hacker me decía que Universal Records había interpuesto una reclamación por derechos de autor y, haciéndose pasar por Facebook, me decía que la opción que nos daban era rellenar un formulario de apelación para que no cerraran la cuenta. Al rellenar ese formulario de apelación —algo que nunca hay que hacer porque Facebook no actúa así, pero en ese momento no me di cuenta— pinché el link. Te redirigía a una página con la misma estética que Facebook, como una especie de formulario en el que tú no puedes más que contestar preguntas tipo test. Al final me pedían un código de autentificación, que también les envié... no me di cuenta de lo que estaba haciendo”.
El ataque contra la página de Hajji en Facebook, con unos 380.000 seguidores, coincidió con que solo dos días antes los algoritmos antipiratería de la red social habían interrumpido la emisión de uno sus vídeos al detectar contenido protegido, precisamente de Universal. “Fue un error porque era un track propio de Fátima, pero fue lo que me hizo caer. No sé si el hacker también vio que el vídeo se había cortado o simplemente puso Universal por ser una de las editoras más conocidas”, expone Cea.
Ataque al perfil personal, chantaje y publicidad
El hackeo de la cuenta de Hajji es un buen ejemplo del modus operandi que siguen los ciberdelincuentes en esta oleada de robos de cuenta ya que reúne muchas de las acciones que suelen poner en práctica. Lo primero que hacen justo después de entrar es atrancar la puerta por dentro. En Facebook e Instagram esto es cambiar el email al que está asociado el perfil, desactivar el doble factor de autentificación o redirigirlo a un dispositivo de su control, cambiar el nombre de usuario repetidamente para que su propietario original pierda su rastro y torpedear el proceso de recuperación. En esto último también puede entrar un ataque secundario a los perfiles personales de los administradores para buscar su bloqueo.
“También entraron a mi perfil personal y pusieron una foto que incumplía las normas de Facebook, ni siquiera sé lo que era. Facebook me lo bloqueó y como pasaron 30 días sin que pusiera una reclamación (el perfil lo seguían teniendo ellos) me lo eliminaron definitivamente”, relata Cea. En Facebook, esta acción provoca que los gestores originales de una página hackeada tengan que abrir cuentas nuevas para avisar a la red social de que les han ciberatacado, lo que enturbia aún más el proceso de reclamación y la compañía lo cierre sin tomar ninguna decisión.
El siguiente paso, también muy habitual, es el chantaje. “Me mandaron una captura de pantalla en la que habían resaltado el botón de 'eliminar la página'. Me decían que podían devolverme el control si permitía que ellos conservaran un perfil de administrador y que les dejara hacer cinco o seis post al día. Me prometían que si lo hacía iba a duplicar o triplicar el número de seguidores en tres meses. Pero que si no, iban a borrar la página. Obviamente no contesté y fui a la Policía”.
Al no recibir respuesta, los autores del ataque siguieron con su plan. “Ponían vídeos con bromas, cosas ridículas, en ocasiones infantiles, chorradas. El objetivo era que se volvieran virales y ganar dinero con la publicidad a través de una herramienta nueva que Facebook ha implementado hace unos meses. Pusieron alrededor de 200 vídeos en dos meses. Los publicaban programados con fechas antiguas, incluso del 2013, para que si en algún momento recuperas la página ni te des cuenta de que están esos vídeos ahí y sigan funcionando”.
“Habrán podido ganar entre 1.000 y 2.000 dólares al mes con esos vídeos”, calcula el responsable de las redes sociales de Fátima Hajji a partir de las estadísticas de las publicaciones con propaganda que pudo revisar cuando recuperó el control de la página. “Al final todo esto genera un flujo de dinero muy grande... del que Facebook se lleva una parte”.
Contactada por este medio, la multinacional envía una serie de medidas de protección que permite citar como contexto, pero no atribuir a un portavoz. Entre ellas están el refuerzo de sus acciones para eliminar las cuentas que suplantan la identidad de Instagram, restablecer el acceso a los propietarios que han sufrido ciberataques y mejorar sus sistemas automáticos para detectar este tipo de comportamiento. También refiere a su página con consejos para mejorar la seguridad de las cuentas.