Una campaña de correos electrónicos fraudulentos busca engañar a usuarios sudamericanos de la red social Instagram con el objetivo de tomar el control de sus cuentas y luego pedirles dinero para recuperarlas, o usarlas para difundir "contenido malicioso", advirtió un laboratorio de seguridad informática.

Se trata de mensajes de phishing -como se conocen las técnicas de suplantación de identidad- que simulan provenir del departamento de seguridad de la red social, que apelan al miedo de los usuarios, haciéndoles creer que sus cuentas fueron hackeadas.

En concreto, informan sobre una supuesta modificación del número de teléfono asociado a la cuenta e invitan a las víctimas a revertir el cambio por medio de un link; al cliquear, se accede a un sitio web (optimizado para móviles) en el que se pide que se ingresen las credenciales de Instagram.

Al hacerlo, las víctimas les estarán cediendo su información a los criminales detrás de esta campaña, ya que con estos datos toman el control de la cuenta "con el fin de extorsionar a su víctima, exigiéndole un monto para recuperarla, o para difundir contenido malicioso, phishing y spam", detalló el informe distribuido por la firma rusa Kaspersky Lab.

Los mails en cuestión provienen de una dirección de Gmail- helpininstagramsecureservice@gmail.com- que no tiene que ver con la red social. Además, el enlace incluido en el correo para "revertir" los cambios dirige al sitio http://www[.]instagramsecurityhelp[.]somee[.]com/, un dominio que tampoco está asociado con Instagram.

"La popularidad de las redes sociales y las malas prácticas en línea de los usuarios posibilitan que este tipo de ataques básicos generen buenos resultados para los ciberdelincuentes", aseguró Dimitry Bestuzhev, director del grupo de investigación y análisis para Kaspersky Lab, América Latina.

"En este caso, el atacante invirtió solo un dólar para el hosting en servidores virtuales que le permiten abrir cuentas a precios bajos y así lanzar este tipo de campañas de manera eficiente y anónima", agregó en un comunicado.

Los casos de engaños virtuales por suplantación de identidad, que apelan cada vez más a la ingeniería social para obtener datos de sus víctimas, vienen creciendo en los últimos años y constituyeron el tipo de ciberataque más utilizado en 2018 en todo el mundo, según diversos informes.

Para estar a salvo, los expertos recomiendan no cliquear en links sospechosos, chequear en detalle las URLs de los sitios a los que se accede y -en el caso de los teléfonos móviles- usar sólo aplicaciones disponibles en las tiendas oficiales, entre otras medidas.