Una tendencia reciente del fraude digital es la clonación de cuentas, en la que los criminales crean cuentas de redes sociales, principalmente Instagram, empleando capturas de pantalla de la cuenta objetivo para tratar de engañar a otros usuarios, haciéndoles creer que su cuenta original fue comprometida con el fin de obtener transferencias bancarias.
Para demostrar la facilidad con la que un fraude como este puede llevarse a cabo, Jake Moore, experto en seguridad de ESET, clonó su propia cuenta de Instagram y se puso en contacto con algunos de sus seguidores, quienes ni siquiera se imaginaron que todo se trataba de un experimento de ciberseguridad.
Tomando capturas de pantalla de su propia cuenta, Moore creó un perfil nuevo con las mismas imágenes empeladas en el perfil original, añadiendo a su biografía la frase: “NUEVA CUENTA DESPUÉS DE PERDER ACCESO A LA ORIGINAL”.
Una vez clonada la cuenta, Moore comenzó a seguir a 30 de sus seguidores en la cuenta original; poco después la cuenta clonada ya contaba con algunos seguidores: “Esperaba que alguno de mis amigos me contactara por teléfono o cualquier otro medio para verificar que esta cuenta nueva en verdad me perteneciera”, menciona el investigador.
Al contrario de lo que Moore esperaba, nadie cuestionó la autenticidad de la cuenta, incluso más de sus amigos comenzaron a seguir la cuenta clonada. Llevando el experimento a su siguiente etapa, Moore comenzó a enviar Mensajes Directos (DM) a sus seguidores en la cuenta clonada, mencionando que un incidente de seguridad había comprometido su cuenta anterior, por lo que había decidido crear una nueva.
Moore envió este mensaje a 13 de sus seguidores, 8 de los cuales respondieron en breve.
Para continuar, Moore comenzó a interactuar con las cuentas que habían respondido a su mensaje, tratando de establecer una historia creíble y coherente antes de llevar a cabo el paso final del ataque: pedir a sus seguidores una transferencia electrónica a través de una cuenta de PayPal. Este es un método básico en las campañas de ingeniería social llevadas a cabo por los grupos de hackers.
En algunos de los casos, los seguidores del investigador incluso le ofrecieron ayuda sin que Moore lo mencionara siquiera.
Los actores de amenazas dependen de que los usuarios crean la estafa, por lo que lo más recomendable es tratar de verificar la identidad del propietario de una cuenta clonada por WhatsApp, Facebook, Twitter o cualquier otro medio. No obstante, la mejor forma de evitar que estos incidentes ocurran es limitando la cantidad de información personal disponible en nuestros perfiles de redes sociales, pues es esto es lo que permite a los actores de amenazas crear perfiles falsos con el fin de engañar a los usuarios.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.