Hackearon mi cuenta de Instagram

25 octubre, 2019

recuperar-cuenta-hackeada-instagram


El pasado lunes 21 de octubre 2019 HACKEARON mi cuenta de Instagram @mvesblog

Cambiaron mi email de acceso, teléfono, nombre de usuario, y deshabilitaron la cuenta, aún teniendo activada la doble verificación. Después, me pedían un rescate para recuperarla. 

Hoy os quiero contar como llegaron a poder robarla, y los pasos que di para recuperarla, para que pueda servir de ayuda a influencers y a todos los que los que estáis en esa situación. 

Ese lunes por la mañana recibí un email para una colaboración con una marca de ropa, como tantos otros emails que recibo a diario. Por lo general suelo detectar bastante rápido esos emails que consiguen pasar el filtro de SPAM, pero que no son fiables, en esta ocasión, me pareció bastante convincente y caí. Supongo que tener una mañana ajetreada, con varias visitas médicas, y decidir revisar el email estando aún anestesiada desde el móvil, contribuyó para qué estuviese con la guardia baja, y pasase algunos aspectos por alto. 


Lo que vi en el email

  1. Estaba en inglés 
  2. Se presentaba como “Creative Manager” de la marca de ropa @theimpeccalablepig. 
  3. El texto decía que llevaba siguiendo mi perfil desde 2017, le gustaba mi trabajo, y que el estilo de mi último look publicado había gustado a su equipo. 
  4. Querían pagar por un post patrocinado con un atuendo de su marca. 
  5. Me decían que podía ver la ropa de su marca, en su el perfil de Instagram, y a continuación incluían el siguiente enlace; https://www.instagram.com/theimpeccalablepig/. Como podéis ver una URL muy normal. 
  6. Se despedía pidiendo que respondiese su email para discutir los detalles de la colaboración. 
  7. Firmaba de nuevo como “Creative and AD manager” e incluían debajo una dirección de Nueva York. 

Un formato muy razonable, como la mayoría de las colaboraciones que me llegan. 


Lo que NO vi en el email

  1. No me fijé que la dirección de correo electrónico no era precisamente de un email corporativo de una empresa: kravchenkoolesia3961@gmail.com
  2. Desde el móvil no pude comprobar a dónde apuntaba el enlace que supuestamente iba a llevarme a su perfil de Instagram. 
  3. No caí que al pinchar en ese enlace, si hubiese sido fiable, se hubiese abierto el perfil de esa marca en la misma app de Instagram dado que si tienes alguna cuenta abierta en la aplicación, estos enlaces se abren ahí directamente. 

Y por esos fallos, cometí el error. Pinché en el enlace, me llevó a una web donde apareció la pantalla para lograrme en Instagram, y yo de ingenua, introduje mi usuario y contraseña para ver qué tal pintaba la dicha marca. Y ahí empezó el robo, pero yo no fui consciente hasta horas más tarde. 

De hecho, fui capaz de ver el perfil de esa tienda, la cual coincidía con el nombre que aparecía en el mail. Es decir, todo bien conectado. Por ese motivo pasaron unas 4 horas sin que yo hiciera nada. Desde mi punto de vista hasta ese momento lo único que había hecho era mirar un perfil en Instagram para ver si me resultaba interesante o no. Como no me resultó, eliminé el correo y no le di más vueltas. Pero la brecha de seguridad estaba antes, en la pasarela que iba desde que pinchabas en el enlace hasta que se abría la aplicación de Instagram, momento en que el phiser había introducido la “invitación” para conseguir los datos.


recuperar-cuenta-hackeada-instagram

¿Qué pasó entonces? 

Cuando terminó esa mañana caótica, quise entrar en mi perfil de Instagram para ponerme al día y me saltó una pantalla que me decía que se había cerrado mi sesión. Ahí empecé a ponerme muy nerviosa. 

Intenté loguearme de nuevo en la app solicitando un cambio de contraseña, pero me decía que mi usuario no existía. 

Fui a mi email, y vi que me había llegado un mensaje de Instagram diciendo que se había cambiado el email de mi cuenta, por otro muy raro, y en el texto ponía “si no has sido tu, pincha en este enlace”, pero cuando pinche ya era tarde, me llevó a una página en blanco. 

Rubén buscó mi perfil desde su cuenta, y vimos que había desaparecido, estaba inhabilitada. Al buscar mi usuario en Instagram, a unos les aparecía tan solo mi nombre, la foto del perfil, y número de publicaciones, con todo el resto en blanco. A otros, ni siquiera les aparecía que mi cuenta existiese. 

Apenas dos minutos mas tarde, recibí un nuevo email, esta vez del hacker indicándome que había hackeado mi cuenta y que tenía dos horas para pagar un rescate, si no, la eliminaría. 


NUNCA LLEGUE A RESPONDER ESE MENSAJE. 



¿Qué proceso siguen para robar una cuenta de Instagram? 

Estos pasos lo averiguamos aprovechando el perfil de Rubén, intentando actuar nosotros como lo haría un phiser y conseguimos desvincularlo de su teléfono y dirección de correo en menos de 30 segundos:


  1. Lo primero es que, una vez que tú facilitas tus datos de acceso en esa web de pishing, ya les has dado acceso a ella. Da igual lo complicada que sea la contraseña (porque la introduces tú), o que tengas la autenticación de doble verificación (porque estás accediendo desde tu número de teléfono) 
  2. En ese momento el phiser, que puede ver tu perfil, van a la pestaña de edición donde pueden modificar el nombre de usuario, el correo electrónico y el teléfono. 
    • Cambia el nombre de usuario para dificultar el rastreo. 
    • Cambia el teléfono de móvil por el que tú quieras. En ese momento te llega un SMS a este nuevo número con un código que debes introducir. Se acepta el traspaso. Date cuenta que al teléfono previo vinculado no llega ningún aviso ni código, jamás llegará.
    • Cambia el mail. Aquí Instagram si envía una notificación al mail anterior con un aviso. Pero ya es tarde, ya se ha cambiado el nombre de usuario y el teléfono asociado. 


Como veis, hay dos puntos críticos que posibilitan que esto suceda: 

PRIMERO, que eres tú quien introduce los datos de acceso desde tu teléfono, por lo que es irrelevante cuán seguro sea esto y poca solución hay por nuestra parte. 

SEGUNDO, que Instagram no avisa al número de teléfono que tienes en tu perfil que se va a cambiar por otro (como sí hace con el mail), por lo que si se introdujera esta modificación por parte de Instagram tendríamos una barrera de seguridad mas sólida. Si recibiese un SMS informándome de que introdujera un código para aceptar el cambio de un móvil a otro, nada de lo siguiente hubiera pasado.


recuperar-cuenta-hackeada-instagram

Pasos para recuperar una cuenta de Instagram hackeada


1. Instrucciones del soporte de Instagram

Lo primero es acudir al soporte de Instagram desde el siguiente enlace: https://www.facebook.com/help/instagram/149494825257596?helpref=uf_permalink, en este enlace nos da las instrucciones que debemos seguir. En mi caso: 

  1. En la pantalla de inicio de sesión, toca ¿Has olvidado la contraseña? 
  2. Toca ¿Necesitas más ayuda? debajo del botón Siguiente y sigue las instrucciones que aparecen en pantalla. 

Ahí introduje mi correo, que era una cuenta personal y que había sido hackeada. Aunque hay una pestaña de comentarios, parece ser que es irrelevante escribir algo o no, porque la respuesta proviene de un bot y siempre ignoraron lo que aquí ponía. Al final, escribía XX porque el sistema me obligaba a rellenar algo… 


Dos detalles importantes que el soporte de Instagram no cuenta: 
  1. Para que estos pasos funcionen es necesario que al tocar en ¿Necesitas más ayuda? esté seleccionada la opción Nombre de usuario y dejar el correo o el nombre de la cuenta hackeada. Si no se hace así el sistema no abre el formulario de ayuda, sino que te dirige al link donde cuenta los pasos de ayuda. 
  2. Aunque tengas la cuenta de empresa, indica en el formulario que es una cuenta personal. Si no lo haces así, te enviarán un mail diciendo que “La cuenta indicada ha sido eliminada. Somos incapaces de recuperar cuentas que hayan sido permanente eliminadas. Lo sentimos”. No entres en pánico, recuerda seleccionar la opción que te digo para que Instagram envíe la respuesta adecuada. 

A veces lo recibirás al momento y otras tardará horas, pero lo siguiente es que recibirás en el mail un correo instándote a sacarte una foto en formato JPEG sosteniendo una hoja en blanco con un código numérico, tu nombre real y el nombre de tu cuenta de Instagram en la que se vea tu cara y la mano sujetando este folio. 

Si ves que no lo recibes, reenvía el formulario. Yo ese día lo hice unas tres veces. ¿Por qué tantas? Porque o no me llegaba esta petición o,recibía un mail indicando que no eran capaces de validar la foto y pidiéndome que la repitiera. Si tampoco esta les valía, Instagram cierra la reclamación y hay que empezar de nuevo a rellenar el formulario. 

¿Cómo hago una foto que valga? ¡Nadie lo sabe! Escribí a bolígrafo, a tinta, color negro, color azul, cara maquillada y con el look que tengo en la foto de perfil, cara normal y despejada… Al final, la foto que mejor me funcionó fue la mas horrible de todas: la que me sacó Rubén recién levantada y la hoja escrita de su mano… Inteligencia Artificial sin Inteligencia. 

Cuando la foto sea validada Instagram puede actuar de diferentes maneras. Hay a quien le solicitan el teléfono y le llama un agente, o no. Lo mas normal es recibir un correo en el que te pedirán escribas el nombre de la cuenta de Instagram y el número de teléfono y ¡el móvil o el sistema operativo que tenías cuando la creaste! No el que venías usando, si no el que tenías cuando abriste la cuenta por primera vez. Si no te acuerdas, como era mi caso, te suelen dejar bastantes intentos. 

Si respondes bien estas preguntas el siguiente correo será uno que te pedirá cerrar todas las cuentas de Instagram (por si tienes varias) y acto seguido clicar en un enlace que aparece en ese mismo correo con el que colocar una nueva contraseña. 

Si todo funciona, tendrás tu cuenta de vuelta. Si no, empezar de nuevo desde el formulario. Es desesperante. Funciona “bien” si a esa cuenta de mail solamente has tenido vinculada una única cuenta de Instagram; como hayas tenido varias, prepárate para un nuevo sufrimiento porque, por alguna razón, da igual que hayas tomado una foto con la cuenta hackeada… igual te resetean una de las que no lo estaba. A mí no me pasó, pero a Rubén, que fue probando estos pasos con su propia cuenta para saber por anticipado qué debíamos hacer, sí le sucedió.


2. Chat de Facebook Ads.

Si tu cuenta de Instagram es de empresa y has realizado publicidad en ella en algún momento, como me ocurría a mí, está la opción del soporte de Facebook Ads. Es la única forma para poder hablar directamente con una persona a través de un chat, al que se llega desde este enlace; https://facebook.com/business/help/support.

Mientras iba mandando emails del paso anterior, necesitaba llegar a una persona que trabajase dentro de Facebook para que acelerase una solución, y use este chat para ello. Otra compañera que estaba pasando por lo mismo, había obtenido ayuda de este modo.

En mi caso fueron tres intentos, con tres agentes diferentes, y aunque unos mas implicados que otros, el resultado final fue el mismo. Lanzar balones fuera, diciendo que ellos desde ahí no podían hacer nada, y que la única forma que tenía para intentar recuperarla era a través del formulario del paso 1.

 

3. Reporte en Instagram desde otras cuentas

Desesperada por los escasos avances obtenidos por las dos opciones anteriores, el martes por la mañana opté por no quedarme quieta. Buscando en internet, había leído que en algunos casos de robo, el propietario pide a amigos, familiares, y conocidos que vayan a su cuenta, en mi caso sería @mvesblog, y denuncien el perfil como “robo”, pero en mi caso eso no era posible porque la cuenta estaba inhabilitada. 

Así que indagando desde otra de mis cuentas, las opciones de ayuda que ofrece Instagram dentro de cada cuenta, encontré una forma para hacerle saber a Instagram lo que había pasado. 

La idea era que Instagram recibiese un reporte de informando del mismo problema desde muchas cuentas, si esto les llegaba de forma masiva era probable que prestaran más atención a lo que estaba pasando, y me daban una solución más rápida. 

Este es el mensaje que yo compartí con todo mi entorno, incluso pedí a otras influencers de confianza que lo compartiesen en sus Stories para llegar a mas personas: 

“Ayer, 21 de octubre del 2019, HACKEARON la cuenta de #instagram de mi marca personal @mvesblog, y me están pidiendo un rescate para recuperarla. Llevo desde ayer intentando que el servicio de ayuda de #Facebook o #Instagram hagan algo para recuperar la cuenta, pero la atención esta siendo pésima y decepcionante.

De momento he perdido el trabajo de años, y si no la recupero, también perderé los apoyos de las marcas que confían en mi trabajo.

NECESITO QUE ME AYUDÉIS a hacerles llegar de forma masiva una incidencia, para ver si se les activan las alarmas y ponen interés en solucionar esto.

Desde vuestra cuenta en Instagram, podéis seguir estos pasos, son 2 minutos:

1. Ir a vuestro perfil, darle al icono superior de la derecha, las tres rallas.
2. Pinchar en “configuración” >> “ayuda” >> “informar de un problema” >> “algo no funciona”
3. Mandar el siguiente mensaje:

“La cuenta de @mvesblog ha sido Hackeada. Han cambiado email de acceso, contraseña y nombre de usuario, en este momento la cuenta aparece inhabilitada.

Su propietaria, Yania Pereira, no esta obteniendo la ayuda necesaria para recuperar su cuenta, contacten con ella en el email yania.pm@gmail.com. ES URGENTE!!!”

CUANTO MAS SE COMPARTA ESTE MENSAJE, MAS PRESIÓN PODREMOS HACER. ES MUY IMPORTANTE.”

Realmente creo que la alta participación de las personas que decidieron ayudarme fue decisivo, a última hora de la tarde Instagram me escribió un email con un enlace para que cambiase los datos de mi cuenta, y de esa forma pude recuperarla en minutos.


Espero que no tengáis que pasar por ese mal trago nunca, pero esta bien que conozcáis cómo actúan y de que forma puedes solucionarlo.



¡Si tenéis alguna duda podéis escribirme en los comentarios o por email! 

© MVESblog. Design by FCD.