Ser stalkeado nivel espía de la CIA no suena muy agradable. Pueden tener controlado qué publicas, a qué le estás dando me gusta o qué nuevos amigos hiciste la semana pasada. Crees tener la seguridad de que algunas cosas, como tus conversaciones privadas tan íntimas, quedan 100% entre tú y la otra persona, pero no siempre es así: hackear tu cuenta de Instagram resulta bastante más sencillo de lo que podrías imaginar. Y ya te avisamos nosotros de que los cibercriminales no necesitan los recursos técnicos de stalkeado para dar con tu información más confidencial. Y no lo decimos nosotros. Nos lo han explicado dos expertos en seguridad informática.
¿Cómo lo hacen?
Un correo electrónico aparece en tu bandeja de entrada. Es una alerta de Instagram explicándote que, por motivos de seguridad, tienes que reloguearte en la plataforma. El enlace está ahí, cómodo, sencillo. Y tu clicas sobre él sin prestar demasiada atención. Así acabas en una página que parece idéntica a Instagram pero cuya dirección reza www.instaagram.com.
Mírala bien. Parecida pero no exacta.
Estás dentro del clon creado por un hacker para que, cuando introduzcas ingenuamente tu usuario y contraseña, le llegue esa información como llovida del cielo. Ya tiene acceso a tu cuenta. Puede verlo absolutamente todo.
Este tipo de técnicas dañinas son conocidas, según me explica David C.G, consultor de ciberseguridad de Capgemini, como phishing. No son tan sofisticadas como las de un superespía de la CIA pero son "la manera más factible de evitar las medidas técnicas de seguridad que implementan las plataformas de redes sociales". Y además de factibles, son bastante efectivas: "Suelen ocurrir muchísimo, pero muchísimo. No puedes imaginarte cuánto. Es una manera muy sencilla de liar a la gente", me cuenta David desde el otro lado del teléfono. ¿Y adivinas cuál es la peor parte? Probablemente nunca llegues a enterarte.
"Normalmente, y después de que la víctima introduzca usuario y contraseña en ese portal fake, la página creada por el hacker le redirecciona hacia la página oficial de la red social para no levantar sospechas. Si el atacante no modifica nunca la contraseña, la víctima podría no ser consciente jamás de estar siendo espiada. Será monitorizada hasta que decida cambiar su contraseña", dice este experto en ciberataques. Aunque el hacker también podría cambiar la contraseña para robarte la cuenta para siempre. No sabemos qué es peor, pero sí sabemos que existen más técnicas para hackear tus cuentas.
Así lo explica Pau, otro consultor de ciberseguridad, figura imprescindible ante la amenaza de los hackers malignos: "Algunas personas usan contraseñas débiles tipo fecha de nacimiento o nombre del perro. Por eso, muchos hackers se dedican a recolectar toda la información pública sobre la víctima y su entorno con el objetivo de adivinar las contraseñas. También pueden, tras conocer nombre de amigos o familiares, llamar por teléfono con un servicio que permite que en la pantalla de la víctima aparezca el nombre de ese amigo o familiar. Hay mil historias. Si quieren robarte la cuenta, harán lo posible por conseguirlo".
¿Y qué es el contrahackeo?
Tienes que imaginarte que estás dentro de una película. Los malos quieren sacarte información y tú tienes que impedirlo a toda costa. Así funciona el juego. Y para hacer contraespionaje no necesitas ser entrenado durante años y años. Basta con una cosa: capacidad para observar los detalles. No andar por internet como pollo sin cabeza porque, aunque lo olvidemos constantemente, ahí afuera hay mucha gente deseando hacerse con tus datos para enriquecerse o simplemente para divertirse a costa de tu desgracia. Que te espíen, especialmente si no eres un criminal internacional, sino un inocente y despistado usuario, no es ninguna broma.
En concreto, y según apunta David, tienes que prestar máxima atención a varios elementos. En primer lugar, "que el remitente de los correos que recibes no sea una sarta de caracteres alfanuméricos tipo svgha27u35bng76@orz98.com". Los hackers suelen currarse las páginas falsas pero la dirección de mail desde la que inician el ataque suele ser bastante sospechosa. No peques de ingenuo sin remedio. Observa las pistas. Y, en segundo lugar, "que las direcciones webs de los portales donde vas a iniciar sesión sean exactamente iguales que las originales". Letra por letra.
Además, y como medida extra de seguridad, recomiendan echar un vistazo al "candadito que aparece en la parte izquierda de la barra de direcciones". Si aparece en color rojo significa que la página puede ser fraudulenta, así que por precaución abandónala de inmediato. Pero si el candado aparece en color verde significa que la página pertenece a quien parece pertenecer. Legítima y segura. Con estas medidas tendrás la certeza de que, al menos por esta vez, no estarás regalando tu información a algún desalmadado de la red. Que vale que no escondes el paradero de isótopos radiactivos, pero ten por seguro, que alguien, justo en este momento y en cualquier lugar del mundo, está vigilando muy de cerca tu cuenta para intentar robártela.
