Hace ya más de un mes, una amiga denunció la suplantación de su perfil de Instagram a través de historias. Habían pasado 23 horas desde su publicación, así que, cuando cliqueé el arroba, ya no había nada que ver: el delito se había desvanecido de las redes. Sin embargo, volvería a suceder con otras jóvenes mujeres. Sus fotografías serían duplicadas y vinculadas a contenido pornográfico, sin que ellas tuvieran el menor alcance al respecto.
¿Qué hay detrás del ‘robo’ de perfiles? ¿Cómo es que este tipo de phishing resulta lucrativo para quienes lo realizan? Las respuestas, aparentemente sencillas, esconden una modalidad de estafa a la que todos están expuestos. En adelante, se detalla más sobre el modo en que operan.
El modus operandi
La mayoría de estas historias comienza con una interrogante repentina. “¿Eres tú?”, dice algún conocido de la víctima por mensaje de texto. Esta frunce el ceño, sorprendida. Pero la sorpresa desaparece al abrir el adjunto en la conversación. Entonces, llegan la ira, la impotencia, la indignación. La víctima es consciente del ataque: alguien está utilizando su imagen para difundir pornografía.
Mujeres estudiantes, profesionales, madres, hermanas, mayores y menores de edad son usadas para este fin. Los perfiles comparten fotos de dominio público, extraídas del usuario auténtico. En la primera línea de descripción, asegura que se trata de una cuenta ‘backup’. En la siguiente, ofrece contenido ‘+18’, solo para suscriptores.
He allí el truco. Aunque el enlace del sitio web aduce –en su mayoría– a Only Fans, se trata de un portal elaborado en Wix o WordPress. A través de este, se roban los datos personales, números de cuenta o tarjetas de los registrados.
“No, no soy yo“, responde la víctima, cuestionándose qué demonios sacan al usar su nombre.
El negocio del phishing
Se saca mucho. El negocio del phishing es antiguo en internet. Consiste en un fraude de telecomunicaciones, que emplea ingeniería social para obtener datos privados. Se caracteriza por tres aspectos:
- Se ejecuta por medio de comunicación electrónica (redes sociales, correo, teléfono).
- El atacante simula ser una persona u organización de confianza.
- El objetivo es obtener información confidencial.
En el caso de la duplicación de un Instagram –por ejemplo– el ciberdelincuente replica el perfil de la víctima, la bloquea y sigue a parte de sus contactos. De esta forma, evita que la afectada se percate de lo sucedido.
El phishing lucra robando identidades, datos, dinero, o incluso ejerciendo espionaje industrial. Como se trata de un delito cibernético, las autoridades competentes suelen pasarlo por alto. En España, la denuncia de una mujer fue ignorada por la policía. Como no era ella quien protagonizaba los videos, le recomendaron que no hiciera nada, obviando por completo la suplantación de identidad.
Qué hacer si (me) ocurre
Se realiza con tanta frecuencia, que existen guías (1, 2, 3) para reaccionar a las ‘pornocuentas’ de Instagram. En cuanto a acciones en línea, dos son esenciales:
- Denunciar el hecho en Instagram (aquí). Es importante conseguir que borren el usuario. Sino, este editará sus datos para saltar a otra víctima con la misma cuenta.
- Denunciar en el servidor de la página web (Wix o WordPress).
También es denunciable ante el Derecho. El delito cibernético está prescrito en el Código Penal del Perú. De hecho, en 2020, la Divindat (División de Investigación de Alta Tecnología) recibió un aproximado de 300 denuncias de ciberdelitos por mes.