¿Cómo recuperar una cuenta hackeada o robada en Instagram? ¿Cómo protegerse de estos ciber ataques?

¿Cómo recuperar una cuenta hackeada o robada en Instagram? ¿Cómo protegerse de estos ciber ataques?

¡Me han robado mi cuenta de Instagram!

Con la inestimable colaboración de Eduardo Mur @BarcelonaCitizen, “estudioso de Instagram”.

Julio 2017.

.

.

.

El pasado 28 de agosto la cuenta de Instagram de la cantante Selena Gomez (la cuenta con más seguidores en el mundo) fue hackeada y luego restablecida con tres imágenes de Justin Bieber, su ex novio, totalmente desnudo. Una de las famosas hackeada en un robo multitudinario que afecta a millones de usuarios según The Verge.com

.

Esto pasa porque “hecha la ley, hecha la trampa”. Los ladrones de cuentas son cada vez más ingeniosos…

.

Usan todo tipo de engaños para conseguir tus datos, y de forma más o menos, “legal”. ¿Cómo lo hacen? Pues muy sencillo, de la forma la más sencilla y natural posible a veces… ¡Pidiéndotela!

.

.

El método más clásico es el mail “physing” haciéndose pasar por Instagram o Facebook.

.

Te contactan via Facebook o via e-mail habiendo conseguido tu dirección de correo electrónico (la tienes ahí bien “clarita” en tu bio en tu perfil de Instagram por ejemplo) y te mandan una comunicación con una pinta tan “corporativa” y creíble acompañada de un mensaje al teléfono para decir que estás a punto de perder tu cuenta, que pierdes el control y haces lo que te dicen.

Entras en un enlace, accedes a una web pensando que es el propio Facebook o Instagram y das correctamente tu nombre de usuario, email y palabra clave. Con prisas y miedo de perder la cuenta, no te has percatado que no estás en ninguna de las webs oficiales de instagram.com sino en una página web que simula interfaz de Instagram o de Facebook.

.

.

 

.

Rellenas tus datos sin dudar y ya está el lío.

Se han quedado con todos tus credenciales. Lo que suele pasar luego es lo siguiente. Cambian tu nombre de usuario, tu contraseña, cambian el mail y teléfono de recuperación, quedándose con tus seguidores y poder vender la cuenta luego… O promocionar algún producto cutre subiendo fotos y fotos de cualquier servicio para conseguir followers o lo que sea. Tu pierdes los nervios, no sabes ya donde está tu cuenta. No consigues entrar. Tus amigos ya no te encuentran en el buscador. Uno te dice “creo que es esta tu cuenta” y a partir de ahí empieza una cruzada para recuperar lo que es tuyo.. Muchas veces, ya han borrado ya todas tus fotos y solamente podrás recuperar tus amigos, tu comunidad… Algo es algo.

.

¡Ayuda! ¿Qué hago?

A partir de ahí, te vuelves loc@, intentas buscar una solución. Buscar la solución en la web de ayuda de Instagram es terriblemente complicado si no tienes unas pistas que aquí abajo con Eduardo Mur (@barcelonacitizen) te iremos indicando. Podrás contactar con la empresa via web e intentar recuperarla pero es altamente difícil resolverlo. Así que lo mejor es “blindarte contra los ataques”.  Ser pro-activo y terriblemente desconfiado de todo y de todos. No rellenes NADA que sea fuera de la web de instagram.com y menos si te ha llegado a través de correo electrónico a una cuenta tuya que aparece en tu bio.

.

Otra de las formas habituales de perder tus datos es a través del uso de apps externas.

Hay muchas apps que usan la Api de Instagram que tampoco recomiendo usar. Apps que te prometen publicar para ti una foto, dentro de unas horas, unos días o conseguir followers por unos pocos euros o dólares… Este tipo de apps, te piden tus datos para hacerlo por ti y una vez cedidos tus datos, véte a saber lo que podría pasar.

Ojo, no hay que ponerlas todas en el mismo saco y hay apps “Homologadas” por Instagram. Es habitual que, desde una app de “edición”, te faciliten abrir la cuenta de Instagram para subir directamente tu foto después de editarla y te requerirá el login de Instagram, eso es normal pero debes ver claramente que es Instagram que te lo requiere y no otra app rara. Apps o webs como la de Iconosquare.com o Websta.me también te requieren esos datos pero verás claramente que el que te pide la contraseña es Instagram y son apps de confianza. En cualquier caso y aunque sean apps que sigan las normas de la API de Instagram, puede que realicen acciones para ti que no desees (otorgar likes en tu lugar y desde tu cuenta por ejemplo) y te recomiendo leer muy en detalle todas los detalles de normas y condiciones de uso de las apps que autorizas. Algunas pueden conllevar sorpresas en la letra pequeña. Sobre eso también nos explayaremos en este artículo y veremos cómo revocar los permisos de apps externas con los consejos de Pablo D. Martin (@pablodmartin) del equipo de Instagramers Spain.

.

¿Cómo recuperar mi cuenta de Instagram?

.

Te advertimos que no va a ser un camino de rosas y no podemos asegurar al 100% el éxito de la recuperación de la cuenta pero aquí vienen unos pasos.

.

Tenías tu cuenta de Instagram vinculada a Facebook.

En el mejor de los casos habías vinculado tu cuenta de Instagram a tu cuenta de Facebook al darte de alta en Instagram. Desde la compra de Instagram por Facebook, la empresa matriz ha creado cada vez más vínculos entre las dos apps, permitiendo compartir automáticamente las fotos de Instagram en tu muro de Facebook pero también, y es importante cosas como gestionar tus campañas publicitarias desde la misma herramienta o en el caso que nos importa, ¡recuperar tu cuenta robada!

“En las opciones de configuraciones de tu perfil de Facebook verás una pestaña llamada: Cuentas vinculadas. Allí puedes vincular tu perfil de FaceBook con Instagram. La utilidad principal es compartir contenido en tu muro, pero no es necesario que lo hagas. Solo tienes que tener activada y en funcionamiento esta opción. Así poder recuperar tu perfil aún sin tener acceso al email o el password de Instagram” nos cuenta Eduardo Mur.

.

No tenías tu cuenta vinculada a Facebook.

Epicfail como dicen. Que mala pata. En este caso no va a ser tan sencillo aunque no está todo perdido.

“En esta situación no podrías iniciar sesión ni con FaceBook por que no conocerás el nombre de usuario nuevo que le dieron a tu perfil. Es importante que entiendas que este será el primer paso que dará un atacante para evitar que recuperes tu cuenta de Instagram. Sin embargo hay un truco que podemos utilizar para recuperar el perfil en un caso tan extremo y es encontrar las miguitas de pan que dejaste por el camino, en tu vida de Instagram” como dice Eduardo.

.

Recuerda que ayer, el mes pasado, hace un año pusiste un comentario especial a una persona que sigues o que no sigues, da igual. Busca esa interacción y podrías encontrar tu comentario que se habrá actualizado con el nombre de usuario nuevo y afectado a tu cuenta. A partir de ahí podrías cumplimentar el formulario de “quejas” que se encuentra en la página de ayuda de Instagram para cuentas robadas. El conseguir ese nuevo nombre de usuario será vital para dar algunas pistas a los ingenieros y responsables del servicio de atención al usuario de Instagram para poder ayudarte. “Recuerda buscar en lo que podrían ser tus apariciones etiquetado dentro de la foto por ejemplo. Esta técnica es, sin embargo, no fiable al 100% ya que los que te hayan sustraído la cuenta podrían rápidamente cambiar las preferencias de tu cuenta y revocar todas las etiquetas antiguas y pasar a “evitar que me etiqueten” perdiendo así todo rastro anterior.

“Adicionalmente deja algún comentario también en un perfil que sea totalmente ajeno a ti. Un perfil que no sigas ni te siga. (esto es útil para evitar que, en algunos casos los atacantes bloquean a los contactos del perfil) Dejar migas en un lugar que solo conoces tú, evita este problema”. Puedes escribir en una foto de una pequeña empresa que conoces pero no sigues, en su primera foto… Ahí podrás encontrar fácilmente tu comentario”. Captura un pantallazo y consérvalo en tu disco duro o imprímelo y guárdalo, guarda también la url de la foto y cualquier cosa que te pueda permitir encontrarla. Te podría ser muy útil. Recuerda que lo más importante será saber dónde dejaste el comentario y será saber exactamente lo que ponía el comentario para saber como se llama tu cuenta si te cambian el nombre.

 

.

De cara al futuro… ¿Cómo protegerse de un robo de cuenta de Instagram?

.

“Más vale prevenir que curar” dice la expresión usada de forma universal. Aquí es un poco lo mismo. Te recomendamos algunas actuaciones previas que evitarán tener que sufrir perdida de cuenta, disgustos y llantos. Parece tedioso pero verás que no lo es tanto. Lee con detalle estos consejos y verás como es bastante más sencillo de lo que parece.

.

Evita dar tus datos de contacto más relevantes.

Como puedes deducir, para evitar que te manden mails a tu mail relacionado con tu cuenta y que te hagan el lío, lo más importante es que los robadores de cuenta no la pueden conocer, de esa forma es complicadísimo que te llegue un mail y te puedan confundir. Eduardo nos da algunos consej0s que pueden ser “estrictos” y radicales pero que son la mejor forma de evitar resolver luego el entuerto.

.

Eduardo Mur nos comenta “Para evitar el robo de credenciales mediante Ingeniería Social en Instagram, cumple estrictamente estos requisitos y protegerás tu perfil de instagram contra ataques remotos. La clave consiste en aislar los puntos de recuperación”.

.

1.- Evitar dar la información “clave” en tu bio.

En tu Bio aparece una información “abierta a todos” donde se puede poner tu web, tu email, tu teléfono y un texto.

Evita que aparezca en ese información el email de recuperación de ninguna otra cuenta de Instagram. Crea otra cuenta de mail donde recibir los mails de usuarios que quieran contactar y distingue el de contacto con el de la creación de cuenta. Ese mail de creación de cuenta no debe ser público en la web de ninguna manera. Activa tanto en la cuenta de información (pública) como en en esa cuenta “madre” que te permitió crear la cuenta, la Autenticación en dos pasos.

2.- Evitar comunicar el numero de teléfono.

Es un elemento clave también que aparece en el apartado privado y al que Instagram te enviará los códigos de recuperación en caso de activar la Autenticación en dos pasos también debería ser un número aislado. Ese número no debe ser el mencionado en la bio ni el del botón llamar en los perfiles Business. Recomendamos que el teléfono de recuperación no aparezca en ningún sitio, ni en la bio, ni en tu contacto en Facebook que puede ser publico.

.

“Se estricto en todos estos puntos y recuerda que Instagram jamas te escribiría a otro email que no sea el privado” nos recuerda Eduardo. Por tanto, todo lo que recibas en el “email publicado en tu mail” por muy oficial que parezca. Nunca sera de Instagram. De igual modo con el numero de movil. y los SMS.

Adjunto un par de pantallazos que recibí a mi teléfono y un mail mío de Phil González aunque afortunadamente, no el que tiene que ver con la cuenta.

.

3. Revoca las apps que hayas podido usar y que puedan ser dudosas.

No te dejes ni tentar por argumentos baratos, ni utilices aplicaciones de dudosas prácticas. Seguir usuarios, recibir followers gratis, que te suban los contenidos para ti… A veces no te arriesga a perder la cuenta pero sin saberlo, empiezas a seguir gente que no quieres seguir y de misma forma comercializan tus likes que no pones.

Si tienes dudas, puedes buscar en Google referencia sobre la app en cuestión y verás rápidamente si otros usuarios se han quejado y han detectado un uso maligno de cuentas de usuarios.

Como lo indica en su artículo Pablo D Martin de @IGersSpain, será necesario revisar las apps que tienes autorizadas y revocar las que ya no uses o de las cuales dudes. Esto impedirá a esas apps actuar por ti o consultar tus datos.

.

 

 

¿Se puede blindar aún más la cuenta?

.

Estas advertencias previas son básicas. Si tienes una cuenta con alto riesgo de robo (con una cantidad de seguidores importante y un valor que podría ser rentable comercialmente) te aconsejamos leer también estas otras prácticas de seguridad.

.

1. Activa la autenticación en dos pasos de tu cuenta.

Activando la Autenticación en dos pasos, siempre será necesario un tercer código “desechable” para iniciar sesión en tu perfil.

Al iniciar sesión, recibirás en tu móvil un código de 4 dígitos que te será requerido al iniciar sesión en Instagram. No debería suponerte una molestia en tus día a día y puedes tener sesiones iniciadas en varios teléfonos y ordenadores sin problemas.

.

2. El protocolo de acción y los contra códigos de 4 y 8 dígitos.

Cuando activas la Autenticación en dos pasos accedes a una pantalla donde se muestra una lista de códigos de 8 dígitos. Instagram te invita a realizar una captura o guardar los códigos en lugar seguro. Debes saber que son de un solo uso y no caducan. Una buena práctica es renovar los códigos cada cierto tiempo.

.

“Tu nivel de paranoia te dirá cada cuanto te tendrás que proteger. Otra persona de confianza podría tener también acceso a ellos y viceversa. Es útil en casos extremos. Yo habitualmente me mando una copia de los mismos a un tercer buzón de correo ajeno a todo lo demás. Por último, recuerda que un código queda inhabilitado en cuanto se utiliza y es buena idea informar a tu “persona de confianza” cuando utilizas uno o los cambias” añade Eduardo. ¡Y no olvides! Solo un teléfono móvil puede estar vinculado a una cuenta. Si intentas repetirlo veras como se desactiva la Autenticación en dos pasos en el primer perfil y así sucesivamente.

.

3. Descubre tu ID en Instagram y guarda ese número tan importante.

.

Tu número de ID (identificador) es un número que te asigna Instagram al crear una cuenta. En sus inicios y al entrar a través de Websta.me o Iconosquare via web podías rápidamente conocer tu número de ID y saber lo equivalente a lo que podría ser el número de bastidor en un coche. Un número único que no cambiará nunca, le cambies o no el nombre a una cuenta. Hoy Instagram lo ha ido paulatinamente ocultando aunque es fácil conocerlo siguiendo unos pasos. Este ID es como tu DNI. Es único, y aunque te cambiasen los apellidos, podrás encontrar rápidamente la cuenta y serviría a Instagram a perseguir los ladrones.

 

“Si conocemos ese ID añadimos un factor extra de verificación en caso de tener que tramitar una recuperación con el equipo de Instagram/FaceBook. Cuando tengas que rellenar el Formulario Instagram: denunciar cuenta pirateada, lo importante será que el técnico asignado a tu caso pueda verificar tu identidad sin dudas y demostrar con eso que el perfil es tuyo” nos subraya Eduardo.

La API de Instagram no permite la búsqueda inversa desde el ID a nombre de usuario y por tanto, no es problema que este se conozca y lo puedas dejar en algún comentario o tenerlo apuntado en una libreta o hacerlo público diciendo que número de usuarios llevas para demostrar “lo viejo que eres en Instagram”. En este artículo en su blog Eduardo te enseña cómo descubrir tu ID en Instagram.

.

4. Consejos básicos pero que no viene mal recordar.

Conocer todas las direcciones de correo, tus teléfonos facilitará enormemente superar este trámite al igual que conocer el ID del perfil o todos los nombres que ha tenido. Demasiados usuarios me han escrito diciéndome que dudaban del mail con el cual habían creado su cuenta.. Eso no puede ser.

.

Cosas curiosas que te pueden pasar a la hora de recuperar la cuenta.

.

Verificar la identidad de 700 millones de usuarios, quién ha robado el mail o la cuenta a quién es muy complicado para los técnicos de Instagram y ellos también usan en alguna ocasión un sistema de verificación que puede parecer casero pero certero. Nos lo contaba hace poco un usuario que nos escribió desde Pakistan y otros amigos en España ya me contarán una experiencia similar.

.

Cuando Instagram te manda mail para devolverte la cuenta  y te pides que les mandes un selfie… ¡Es algo serio!

Puede sonar a cachondeo pero los ingenieros de Instagram han encontrado una forma de asegurarse de que eres el dueño de un cuenta y que el que recibe el mail es el titular de la cuenta y del email vinculado. Nos lo contaba Ali Khan que había visto la cuenta de su negocio desactivada por Instagram por un uso supuestamente indebido. El propio usuario no sabía muy bien el porque de su desactivación, probablemente fue presa de un ciber-ataque e Instagram le desactivó directamente la cuenta.

Ali Khan nos cuenta su experiencia:

“Un día al intentar iniciar sesión en la app, me apareció un mensaje en la pantalla de mi móvil. “Tu cuenta ha sido desactivada debido a alguna violación” y debajo aparecía un botón de”learn more” (saber más). Al hacer clic me llevó a una página web (oficial) de Instagram que me confirmaba que mi cuenta había sido desactivada debido a una violación de las normas de uso. Me decía dicha página que si pensaba que la “desactivación” hubiera sido indebida, tenía que volver a hacer clic en un botón para reclamar.

Ese clic me llevo a un formulario donde tuve que decirles el nombre completo, el nombre de usuario, el correo electrónico de identificación y al final me pidieron adjuntar un documento si se trataba de una cuenta de negocios y también había una casilla de verificación. Rellené el formulario por completo y luego me dijeron que mi formulario se había enviado correctamente.

Luego recibí un correo en mi bandeja de entrada de email donde Instagram me envió un código y me pidió escribir ese código en un papelito con el nombre de usuario y el nombre de la cuenta y enviar un selfie” con el papel en las manos y la cara claramente visible. Envié ese curioso selfie y al día siguiente recibí un correo de Instagram indicando que mi cuenta se había reactivado”.

Puede sonar a curioso pero es una fórmula “casera” de vincular la persona, con las fotos que aparecen en la cuenta y asegurarse que el que recibe el mail es el dueño anterior y es el que tiene el control sobre la cuenta de mail. Es curioso pero eficiente.

.

Este artículo se publica en Julio del 2017 y probablemente iremos ampliando información a medida que vayamos compilando más información con Eduardo en relación con este tema. Podéis descubrir más aspectos interesantes de Instagram en el blog de Eduardo (http://barcelonacitizen.com/)

.

@philgonzalez

Leave a Reply