El phishing en las redes sociales hace referencia a un ataque ejecutado a través de plataformas como Instagram, LinkedIn, Facebook o X. El objetivo del ataque es robar datos personales u obtener el control de la cuenta de su red social.
Las redes sociales se han extendido tanto como el aire que respiramos. Las personas utilizan Facebook, Instagram, X y muchas otras plataformas para estar en contacto con amigos y familiares, para estar al día con las últimas noticias, para quedar con gente y para conectar con el mundo.
Las empresas también utilizan las redes sociales para mantener informados a sus clientes sobre las últimas ofertas en sus productos y eventos, para fines de marketing y para atraer a nuevos clientes. Esto hace que las redes sociales sean una plataforma atractiva para que los agentes de amenazas lleven a cabo sus ataques de phishing. Las herramientas como Hidden Eye o ShellPhish hacen que este tipo de ataques de phishing sean tan sencillos de realizar como ejecutar una aplicación.
Los hackers recopilan información como las credenciales de inicio de sesión de las cuentas en redes sociales, información de tarjetas de crédito e información personal sobre usted y que podría utilizarse para realizar otras estafas y ataques.
Instagram es una plataforma muy popular que se usa para compartir fotos y textos. Los instagrammers de todo el mundo utilizan esta plataforma como una especie de diario de vídeo para compartir las actividades y momentos de sus días.
Un ataque de phishing en Instagram comienza cuando un hacker crea una página de inicio de sesión falsa. Estas páginas falsas se confeccionan de manera que se parezcan lo máximo posible al sitio de verdad para engañarle. Cuando proporciona su Id. de usuario y la contraseña de Instagram a la página falsa, el hacker se hace con sus credenciales. Normalmente se le redirigirá a la página de inicio de sesión real de Instagram para la autenticación, pero el daño ya está hecho. Con sus credenciales de Instagram, el atacante ya tiene acceso completo a su cuenta.
Si utiliza las mismas credenciales para iniciar sesión en otros sitios de redes sociales o, peor aún, para su cuenta bancaria, el atacante tendrá acceso también a estas cuentas.
Tras obtener acceso a su cuenta de Instagram, puede utilizarla para espiarle. El hacker también puede hacerse pasar por el verdadero usuario y pedir información personal de sus amigos y seguidores. Naturalmente, el hacker tapa todas sus huellas eliminando los mensajes fraudulentos.
Si llevamos las cosas hasta el siguiente nivel, el atacante podría adueñarse por completo de su cuenta de Instagram. El hacker puede cambiar su información personal, preferencias e incluso su contraseña y, por tanto, bloquear su acceso a su propia cuenta.
LinkedIn es la plataforma de red de contactos profesionales más utilizada en el mundo. Los hackers le envían emails, mensajes de LinkedIn y enlaces a usted con la intención de engañarle y hacer que comparta información sensible, datos de la tarjeta de crédito, información personal y credenciales de inicio de sesión. El agente de amenazas podría hackear su cuenta de LinkedIn para hacerse pasar por usted y enviar mensajes de phishing a sus conexiones con el fin de recopilar datos personales.
También es posible que el hacker envíe emails que parezcan provenir directamente de LinkedIn. Esto es posible debido al hecho de que el sitio oficial de LinkedIn tiene diversos dominios de email legítimos, incluidos linkedin@e.linkedin.com y linkedin@el.linkedin.com. Esto dificulta que los usuarios estén al día de los dominios válidos y los falsos que podría utilizar un atacante.
Facebook, lanzado a principios de los 2000 y con más de 2900 millones de usuarios activos en el mundo, es el rey de todas las plataformas de redes sociales modernas. Le precedieron sitios como Friendster y MySpace, pero Facebook estableció el modelo de conexión entre personas y empresas con amigos, familiares y clientes.
Un ataque de phishing en Facebook habitual consiste en el envío de un mensaje o enlace que le pide que proporcione o confirme su información personal. Entregado a través de una publicación de Facebook o mediante la plataforma Facebook Messenger, resulta difícil separar un posible mensaje legítimo proveniente de un amigo de un intento de phishing.
La información recopilada mediante un intento de phishing en Facebook da a los atacantes la información que necesitan para obtener acceso a su cuenta de Facebook. Podría recibir un mensaje informándole de que hay un problema con su cuenta de Facebook y de que necesita iniciar sesión para solucionar el problema.
Estos mensajes tendrán el correspondiente enlace para que lo siga y le lleve a un sitio que se parezca a Facebook. Cuando llega al sitio web del impostor, se le pedirá que inicie sesión. A partir de ahí, el hacker puede extraer sus credenciales. Preste mucha atención a la dirección URL para tener la seguridad de que está siendo redirigido a www.facebook.com. Cualquier otra cosa es muy posible que sea falsa.
Si bien Facebook se comercializa como una forma de mantener el contacto con amigos y familiares y LinkedIn se utiliza como un medio de conexión con profesionales, X le permite interactuar con personas que nunca ha conocido en la vida real. Este nivel de comodidad que los usuarios adquieren al interactuar con extraños ha hecho de X una plataforma popular para los ataques de phishing.
Los hackers que operan en X utilizan las mismas tácticas y técnicas de phishing que en otras plataformas de redes sociales. Un agente de amenazas envía mensajes falsos supuestamente procedentes de X. Estos mensajes intentan extraerle información sensible como las credenciales de inicio de sesión, información personal e incluso datos de la tarjeta de crédito. X ha dejado claro que solo envía emails a los usuarios desde dos dominios: @x.com o @e.x.com.
Estos ataques de phishing pueden conducir a otros ataques relacionados, entre los que se incluye el ataque de «pago por seguidores». En este método de phishing, usted recibe mensajes de los hackers sosteniendo que le proporcionarán un número específico de «seguidores» por el módico precio de cinco euros. Al proveer su información personal y número de tarjeta de crédito abre la puerta a que los hackers retiren el dinero de su cuenta y/o inicien sesión en su cuenta de X para continuar con la estafa en toda su lista de seguidores.
Artículos relacionados
Investigaciones relacionadas