Categories
Seguridad

Robo de cuentas de Instagram con tokens

Instagram es una red social de compartir imágenes sobre ti. Existen muchos perfiles que monetizan su cuenta y es muy apetitoso para los ciber delincuentes. En este artículo voy a comentar como consiguen acceder a tu cuenta de instagram enviándote un token de inicio de sesión.

Un token es similar a un vigilante de un museo. Permite entrar al museo si el visitante tiene un permiso para hacerlo. El token es el permiso, el documento que enseñamos al vigilante para entrar al museo. El token contiene las credenciales de seguridad para loguearte en tu sesión e identifica al usuario, grupos de usuario, los privilegios del usuario, en algunos casos, a una aplicación en particular.

SMS para recuperar el acceso falso

El SMS que se ve en la Fig 1 puede llegarte con un número de España, +34 671 467 469.

Figura 1. SMS con enlace para recuperar la cuenta

Este mensaje me invita a recuperar mi contraseña de Instagram pulsando en el enlace que proporciona. Como norma general NUNCA debemos hacer clic en estos enlaces. Lo que sí tenemos que hacer es copiar ese enlace para trabajar con él.

Como comprobar a donde dirige el enlace

El enlace proviene de un acortador de enlaces que utiliza Instagram, https://ig.me, pero la parte final es la clave, puesto que tiene una serie de letras que no me dan ninguna pista a donde va. Utilizamos la página wheregoes.com para saber a donde apunta ese enlace.

Figura 2. Redirección 301 del enlace que viene en el SMS

Como cabía esperar es una redirección (viene de un enlace acortado) que no lleva a ninguna página externa a Instagram http sospechosa, sino que se trata de un token de esta red social.

Inicio de sesión sospechoso en Instagram

Tanto la versión móvil como la versión de pc me informan que alguien ha intentado acceder a una cuenta y pone la localización del intento de acceso a la cuenta. A diferencia del sms, que parece provenir de España (prefijo +34) sin embargo, Instagram me informa que el acceso sospechoso es de California.

instagram tokeninstagram token
Figura 3. Comparación entre los mensajes de la aplicación de Instagram en pc (izquierda) y en pc (derecha)

Llegados a este punto y como obviamente no hemos sido nosotros tenemos que pulsar en el botón No he sido yo. Acto seguido deberemos cambiar la contraseña.

Consejos para mejorar la seguridad de tu cuenta

A continuación, propongo varios consejos que puedes seguir para ayudar a mantener la seguridad de la cuenta:

  • Elige una contraseña segura. Utiliza una combinación de al menos seis números, letras y signos de puntuación (como “!” y “&”). Es muy importante una contraseña única, que solo utilices en Instagram. Utilizar gestores de contraseña que hacen el trabajo por ti, y que guardan una contraseña complicada
  • Cambia tu contraseña con regularidad, especialmente cuando veas un mensaje de Instagram que te lo solicite. Como hemos visto en este SMS que nos llega a nuestra cuenta y el posterior intento de inicio de sesión Instagram automátidamente nos pide que la cambiemos. .
  • Nunca compartas tu contraseña con alguien que no conozcas y en quien no confíes.
  • Activa la autenticación en dos pasos para mayor seguridad de la cuenta.
  • Asegúrate de que tu cuenta de correo electrónico esté protegida. Recuerda que es probable que todas las personas que puedan tener acceso a tu correo electrónico también puedan acceder a tu cuenta de Instagram. Ten contraseñas diferentes para las cuentas de las redes sociales.
  • Cierra sesión en Instagram cuando utilices un ordenador o teléfono que compartas con otras personas. En un lugar público nunca es buena idea que accedas a una red social. . Asimismo, si entras en Facebook desde un equipo público, no marques la casilla “Recordar contraseña”, puesto que al hacerlo permanecerás conectado incluso después de cerrar la ventana del navegador.
  • Piénsatelo bien antes de dar tu autorización a aplicaciones de terceros. Nunca es buena idea salvo si has sido tu mismo quien lo ha hecho. Si ves acceso a una aplicación de terceros desactiva ese acceso.

Cómo saber quien ha accedido a tu cuenta de Instagram

En la dirección https://www.instagram.com/accounts/access_tool/ puedes ver todos los accesos que ha tenido tu cuenta de Instagram. Existe mucha información relevante sobre tu cuenta de Instagram, como por ejemplo cuando te uniste a la plataforma. El apartado más importante es el de PRIVACIDAD Y SEGURIDAD.

instagram
Figura 4. Datos de tu cuenta de Instagram

Formas de mejorar tu privacidad y seguridad en Instagram

La mejor forma, mientras no se descubra algo nuevo, es habilitar un doble factor de autenticación. Para ello dirígete aquí https://www.instagram.com/accounts/two_factor_authentication/ y habilita la opción que quieras. Tras la habilitación tendrás unos códigos de recuperación que solo vas a poder ver tu como puede verse en la Fig. 5.

codigos de recuperacion instagram
Figura 5. Privacidad y seguridad por doble factor en Instagram

La autenticación puede ser mediante un mensaje de texto que se envía a tu teléfono móvil o bien utilizando una aplicación de autenticación.

Resumen

El robo de cuentas en redes sociales a través de token es algo en lo que tienes que tener cuidado. Si alguien que desconoces te envía un sms o un correo con un enlace solicitándote que modifiques los datos de tu cuenta no le hagas caso.

Siempre es buena idea primero entrar en la red social para ver que todo está en orden. La propia red social te va a informar si hauy alguna actividad sospechosa y puedes actuar desde la misma plataforma para evitarlos. Activar un doble factor de autenticación reforzará la seguridad de tu cuenta.

Leave a Reply