Hace tiempo que Instagram es líder indiscutida en el mercado de las redes sociales, con más de 1.000 millones de usuarios activos mensuales.
Pero no solo son las personas quienes la usan: los bots son los nuevos protagonistas. Invaden la plataforma con todo tipo de contenido: publicaciones, historias y hasta comentarios. Casi no hay usuario que no haya sufrido este tipo de spam. Pero, ¿por qué sucede y qué riesgos representa para nuestros datos?
"Instagram creció. Al tener más usuarios, proporcionalmente, hay más de estas cuentas que buscan estafar a otros, como pasó en Facebook o Twitter anteriormente", resume en diálogo con iProUP, Facundo Tula, fundador de Diacrítica Consultores, agencia digital especializada en estrategias digitales.
Cuentas falsas de Instagram: que son los bots y qué hacen
Un bot, abreviatura de robot, es un programa informático que efectúa automáticamente, y de forma repetitiva, tareas asemejables a las que realiza un humano. Justamente, se hacen pasar por cuentas reales para llamar la atención de los usuarios, usando por lo general el sexo.
Al tratarse de una "red visual", señala Tula, "es común que estas cuentas pretendan ser de un hombre o mujer sugerentes y jugar con el deseo de la otra persona".
"Como Instagram se basa en publicar fotos, hace que este proceso sea bastante fluido para este tipo de cuentas ya que, después de captar su atención, el usuario puede entrar a la biografía y ver imágenes de esa supuesta persona".
Según el experto, ese estímulo visual es un motivo para responder el primer mensaje privado y continuar la conversación, ya que no todos los bots van directo al envío de un link: algunos hasta simulan conversaciones humanas.
"No queremos tener actividad spam en nuestras plataformas y trabajamos para contrarrestarla y prevenirla, bloqueando perfiles falsos y removiendo el contenido que viola nuestras Normas Comunitarias", aseguran desde Meta ante la consulta de iProUP.
Cuentas falsas de Instagram: cómo los bots buscan robarte tus datos personales
Los bots son una de las últimas maniobras empleadas por los ciberdelincuentes para robar datos personales mediante links que envían a los incautos que "pican".
"A través de cuentas falsas se busca tener interacción con los usuarios, quienes terminan por convertirse en potenciales víctimas de diversas formas de fraude", argumenta a iProUP Miguel Angel Mendoza, Investigador de Seguridad Informática de ESET Latinoamérica.
La insistencia de los piratas informáticos con estas cuentas hace que ni bloqueándolas uno se libere de cadenas de spam, ya que siempre aparecerán nuevas ante cualquier publicación.
"A nadie le gusta que cuentas spam empiecen a seguirte, den me gusta a tus publicaciones o dejen comentarios. Para nosotros es muy importante que las interacciones entre las personas en Instagram sean genuinas. Por eso que trabajamos constantemente para mejorar nuestra tecnología y mantener nuestra comunidad libre de spam", manifiestan desde Meta.
Los ciberdelincuentes realizan, a través de estas cuentas, cadenas de spam para seducir a los usuarios a dirigirse a un enlace y robarles la información
Según Tula, "estas cuentas intentan generar acciones que llamen la atención: seguirte, likear, comentar publicaciones e historias, etc. De cualquier forma, siempre terminan enviando un link por mensaje privado en busca de nuestro clic".
"Lo que pasa con ese enlace es lo que puede variar según lo que haya detrás de la cuenta, y según los riesgos asociados", remarca, quien revela algunas de las estrategias de los atacantes:
- "Una opción es simple phishing: esos links, al cliquearlos,infectan tus dispositivos en búsqueda de claves y cuentas o pueden enviarte a un sitio para captar tus datos de una forma más 'natural' con un formulario o pidiendo vincular tu cuenta de Instagram, por ejemplo, a su plataforma y desde ahí tomar el control"
- "Aplicar estos métodos con cuentas a partir del registro en alguna plataforma de citas y hasta trading de criptomonedas, pero que en el fondo son solo estafas que buscan tus datos sensibles como, por ejemplo, los de tu tarjeta"
Por su parte, Mendoza añade otra metodología empleada: el scrapping. "Consiste en identificar usuarios que comienzan a seguir cuentas oficiales de un banco e intentar engañarlos para hacerse, en última instancia, de sus claves de homebanking".
"Otro ejemplo es el de estafadores al acecho de los comentarios que realizan los usuarios en perfiles verificados de Instagram para intentar robar el acceso a su cuenta", suma el investigador.
Según el responsable de ESET, uno de los propósitos de estas cuentas es lograr el contacto inicial a través de la red social para luego recurrir a otra vía, como las llamadas telefónicas, y así apropiarse de información sensible.
Cuentas falsas de Instagram: ¿qué riesgos representan?
Entre otros, Tula lista varios riesgos de interactuar con estos perfiles:
- Perder tu cuenta de Instagram
- Caer en una estafa pagando por algún servicio o plataforma
- Robo de datos bancarios y personales
Las cuentas falsas se destacan por tener un nombre con combinaciones de letras y números, pocas fotos subidas y pocos seguidores, entre otras características
"Estas cuentas son notoriamente sospechosas: tienen combinaciones de letras y números, casi sin fotos subidas, pocos seguidores, siguen a muchas cuentas de golpe e incluso suelen ser de otros países y hablar en otros idiomas de manera forzada", analiza.
A veces, los perfiles también tienen fotos que son sospechosas, publicadas al mismo tiempo o hace uno o dos días, con muchas personas etiquetadas y muchos hashtags.
Mendoza recomienda a las empresas, a las desarrolladoras de estas apps y a los afectados "orientarse" a la concientización y a la entrega de más información para notificar de manera oportuna y clara de este tipo de estafas.
"Los algoritmos de Meta podrían actualizarse para que las cuentas no verificadas de instituciones no puedan contactar directamente a los usuarios, como lo hacen para reducir los casos de grooming: evitan que adultos se pongan en contacto con menores de edad", aclara.
Cuentas falsas de Instagram: cómo evitar estafas
En el caso de los bots sexuales, Tula asegura que suelen escribir comentarios o mensajes privados insinuando intenciones de entablar algún tipo de relación; mientras que las relacionadas con inversiones prometen resultados exageradamente irreales.
"Una vez detectado, lo ideal es no interactuar: no seguir la cuenta, responder a sus mensajes ni mucho menos cliquear en links que envíe o lo que aparecen en su biografía", advierte Tula.
La recomendación principal que brindan los especialistas es no interactuar con estas cuentas 'bot'
Para bloquearlos, desde Meta aseguran que analizan las cuentas que:
- Envían el mismo link a muchas personas
- Realizan muchos comentarios y muy similares en poco tiempo
- Dar follow a muchas personas en cuestión de minutos
- Dejar de seguir varios usuarios "de golpe"
Tula opina que es difícil identificar el perfil ilegítimo, "especialmente porque los bots intentan simular acciones humanas. Si Meta fijara reglas más duras, podría bloquear cuentas reales por error".
Sin embargo, remarca que "suena muy utópico el pensar que pueden ‘desaparecer’ porque seguramente siempre encuentren nuevas formas y personas para estafar".
En esto coincide el ejecutivo de ESET, quien remarca que cuando un usuario comience a interactuar con alguna cuenta, debe "verificar que sea oficial, legítima y verificada, antes de compartir cualquier información sensible como su número de teléfono".
"Es importante recalcar que este tipo de servicios no solicitan información sensible o confidencial que pudiera comprometer a las personas y suelen ser reactivos no proactivos. Es decir, se inician una vez que el usuario lo solicita", concluye Mendoza.