Nuestra experiencia cuando nos hackearon la cuenta de Instagram

Our experience of when our Instagram account got hacked

Todo empezó en medio de las vacaciones de verano, cuando una mañana de agosto recibimos un mail de Instagram que nos decía que una publicación nuestra había sido reportada por temas de copyright. Hicimos click en el link y ¡voilà! Se desató el caos.

Os relatamos la historia completa con total transparencia, como si de un case study se tratara, con la voluntad de ser de ayuda para otras marcas que puedan encontrarse en situaciones parecidas en el futuro. Según nuestra experiencia, es fundamental saber todos los pasos con detalle en caso de un ataque similar para actuar con la mayor diligencia. Todos somos vulnerables en el mundo digital y cuanta más información tengamos al respecto, más protegidos y seguros estaremos.

Una vez más, dar las gracias a todos y cada uno de vosotros, la implicación de nuestra comunidad fue clave en la resolución del hackeo. Es un honor teneros cerca como embajadores del cambio.

A continuación todo lo que pasó con detalle:

Journal

Inicio del scam:

1. Recibimos un mail que parece oficial de Instagram, diciendo que una imagen ha sido reportada por tener derechos de copyright. Aquí el mail en cuestión:

Entre el bullicio del día a día y la vorágine de mails entrando en nuestra bandeja de entrada, no sospechamos en un primer momento. Asunto, remitente, mensaje y diseño parecían coherentes, así que nada despertó nuestra señal de alerta. Después de todo el proceso, hemos visto que es VITAL comprobar que el remitente sea el oficial. Más abajo encontrarás el listado de mails que Instagram únicamente reconoce como oficiales.

La realidad es que el mail parecía bastante corporativo. Además, el contenido estaba bien trabajado, con el tema que alguien había reportado una publicación nuestra por temas de copyright. Así que picamos, caímos de cuatro patas e hicimos click en el botón ‘Appeal as closcadesign’. Ese fue el principio del desastre. 

2. El botón nos llevó a un enlace y nos encontramos una página muy similar a la de login de Instagram desde un navegador. Había tres campos que debíamos rellenar: user, password y un campo vacío de comentarios. En todo momento seguíamos pensando que era Instagram.

3. Acto seguido, recibimos una notificación que un dispositivo en Turquía se había conectado a nuestro perfil:

4. Hicimos click en la notificación y especificamos que no habíamos sido nosotros. Justo en el momento en el que estábamos cambiando la contraseña por una nueva, el perfil de Instagram de @closcadesign se desconectó del dispositivo de la Community Manager. También se desconectó de todos los dispositivos del personal interno.

5. El/la ciberdelincuente había tomado control total de nuestra cuenta de Instagram. Había cambiado el mail de contacto, la contraseña y el teléfono asociado.

6. Intentamos acceder a Instagram desde todas partes: Facebook Business Manager, otras aplicaciones vinculadas a Instagram, desde todos los dispositivos de la empresa vinculados. No había forma, todo nos daba error.

7. El/la ciberdelincuente subió un Stories diciendo ‘esta cuenta está en venta’, también lo puso en la biografía:

8. Se desató el pánico. Habíamos sido oficialmente hackeados.


Gestión Interna:

1. Escribimos a Instagram desde el formulario que está en su web cuando han suplantado la identidad y contactamos con Facebook por chat desde Facebook Business Manager. Nos pidieron un montón de documentación de la empresa, así como pantallazos de lo ocurrido, lo mandamos todo.

2. Se inició comunicación por mail con Facebook/Instagram, con un número de caso. Fueron largos hilos de conversación y cada vez hablábamos con alguien distinto. La sensación es que hablábamos con robots y que no nos hacían nada de caso:

3. Escribimos por DM a nuestra propia cuenta de Instagram @closcadesign a ver si alguien nos respondía.

4. El/la ciberdelincuente nos contactó desde su perfil personal al perfil personal de una persona del equipo: 

5. Nos chantajeó y pidió dinero a cambio de recuperar la cuenta. Nos pedía 500$ a pagar 250$ ahora y 250$ después con Bitcoins, no dio ningún número de cuenta.

6. Hizo presión contactando con algunos de nuestros seguidores por DM ofreciéndoles comprar nuestra cuenta de Instagram.

7. Buscamos información por Internet y pedimos consejo: todo el mundo nos decía que no pagáramos, ya no solo por un tema ético, sino porque los antecedentes nos dicen que nunca devuelven las cuentas.

8. Interpusimos una denuncia formal a la policía nacional.

9. Seguimos con gestiones con Instagram y Facebook para recuperar la cuenta o, en su defecto, para que la bloquearan para que al menos el/la ciberdelincuente no pudiera publicar o escribir a nuestros seguidores.

10. Hicimos pantallazos de todo el feed y de nuestros seguidores porque no teníamos copia de seguridad de nuestra cuenta de Instagram. Más abajo, en Consejos, te contamos más sobre esto.

11. Esperamos 2-3 días a que alguien (FB, IG, policía) hiciera algo, actuara.

12. Nadie tomó acción efectiva inmediata.


Gestión externa:

1. El lunes, 5 días después del hackeo decidimos hacer público lo ocurrido a través de todos nuestros canales de comunicación: newsletter, blog, Twitter, Facebook, LinkedIn corporativo y del CEO. Sentimos que no podíamos quedarnos de brazos cruzados y esperar, así que tomamos un papel activo y reivindicativo.

2. También construimos un nuevo perfil de Instagram en el que poder mencionar el perfil hackeado y que declaramos como el oficial mientras se solucionaba todo.

3. En la comunicación, además de explicar lo sucedido, pedimos implicación a nuestra comunidad haciendo share y denunciando/reportando a la cuenta hackeada desde Instagram. El objetivo de esta petición de ayuda era doble:

a. Ver si un amigo de un amigo conocía a alguien en Facebook e Instagram que nos ayudara a solucionar esto de forma rápida y efectiva.

b. Hacer presión a Instagram y Facebook con menciones para que hicieran algo, aunque fuera bloquear la cuenta para que el/la ciberdelincuente no posteara nada.

4. Recibimos un montón de mensajes de apoyo, ideas de soluciones e implicación. La verdad es que el calor que sentimos de nuestra comunidad nos ayudó a reponer la confianza que toda esta pesadilla iba a acabar pronto.

5. Nos pusimos en contacto con algunas empresas especializadas en resolver cuestiones como esta, chequeamos servicios y presupuestos. Nos dijeron que era importante conseguir el número de ID de nuestro perfil, por si el/la ciberdelincuente cambiaba el número de usuario, ya que entonces sería más difícil de trackear. Si googleas encontrarás información de cómo hacerlo. 

Resolución

1. 24 horas después de haber hecho público el hackeo, nos llegó un mail de Instagram, en turco:

Escribimos rápidamente por el chat desde nuestra cuenta de Facebook Ads y al hilo de mails con nuestro número de caso para preguntar si era un mail verdadero. Nos dijeron que sí, que era un remitente oficial. 

2. Hicimos click en el link y nos llevó a una página para poner una nueva contraseña.

3. Y… ¡de repente estábamos dentro! Por fin, ¡conseguimos entrar en nuestra cuenta de Instagram que nos había sido robada!

4. Lo siguiente que hicimos rápidamente fue activar la doble autenticación poniendo un número de teléfono accesible.

5. La doble autenticación fue verificada.

6. ¡Bingo! Ya lo teníamos, la pesadilla había acabado, habíamos recuperado el control de nuestro perfil en Instagram.


¿Qué fue lo que contribuyó a solucionar el problema?

La verdad, se hace difícil decir una sola cosa, creemos que fue una suma de factores.

Por una parte, llevábamos ya 6 días de gestiones con Instagram/Facebook para que bloquearan la cuenta o nos dieran acceso a recuperarla.

Por otra parte, nos movilizamos haciendo uso de nuestros propios recursos, al ver que no podíamos quedarnos de brazos cruzados ante la poca capacidad de reacción de Facebook/Instagram y la policía ante casos como este. Decidimos ser proactivos y actuar mientras todas las otras vías seguían su curso. Para nosotros, la acción pasaba por alzar la voz y contar públicamente lo que estaba pasando. 

Muchas veces, las empresas llevamos este tipo de situaciones de forma interna y privada, como si fuera nuestra culpa. Nosotros nos responsabilizamos en parte de no haber tomado todas las medidas necesarias para prevenir el ataque, pero la realidad es que todos, empresas y ciudadanos de a pie, somos vulnerables a ataques como este y creímos que contarlo podía ser parte de la solución.

En la comunicación pública que lanzamos por nuestras redes, web y mail mencionamos a Facebook e Instagram para hacer presión.

Lo que resultó clave fue proveer de un correo electrónico nuevo con nuestro dominio a Instagram para que lo asociaran a la cuenta. Llegamos a probar con cinco cuentas de correo corporativas, pero todas estaban vinculadas a redes sociales. El drama es que Instagram y Facebook hacían una única gestión al día con nuestro caso y teníamos que esperar 24 horas hasta que respondían si el mail provisto era válido o no.

En todo caso, fueron imprescindibles la ayuda y apoyo brindados por nuestra comunidad, que se volcaron en aportar consejos, soluciones y mensajes de ánimo y contribuyeron a hacer extensible lo que nos había pasado. También fueron claves la implicación de todo el equipo y una buena coordinación de todos los departamentos y proveedores.


Daños:

No nos han robado producto ni han entrado en nuestras cuentas del banco, pero las consecuencias del ciberataque fueron severas para nosotros, aunque por suerte no irreversibles. 

Tuvimos mucha suerte porque el/la ciberdelincuente no borró ninguna publicación, así que recuperamos el perfil tal y como estaba. En muchas ocasiones valoramos qué pasaría si nos borraba el feed y en todos los recursos que necesitaríamos para restablecerlo.

Hemos hecho algunos números sobre las repercusiones cuantitativas del hackeo que aquí te compartimos:

(Comparación de datos de 19/08 - 25/08 con el mismo periodo de tiempo que el año anterior):

Impacto en visitas web (Instagram es la red social que más usuarios nos lleva a la página web):

Visitas: -48,23%

Usuarios: -40,54%


Impacto en redes sociales:

Unfollow: 237

Nuevos followers: 554



¿Por qué lo contamos?

Porque es una realidad a la que todas las empresas y personas usuarias de perfiles en redes sociales debemos enfrentarnos. Creemos que haciendo difusión de nuestro caso, contribuimos a que la gente tenga conocimiento de la existencia de esta problemática. 

También pensamos que nuestra experiencia puede ayudar a otras marcas que se encuentren en una situación similar, para que sepan cómo pueden actuar o qué opciones tienen. De hecho, fue una de las primeras cosas que hicimos: buscar información de otras cuentas que hubieran pasado por algo similar.


Consejos:

Basados en nuestra experiencia, te sugerimos:

  • Actuar con rapidez. El tiempo va a contrarreloj cuando se trata de un ciberataque, hay que mover ficha cuanto antes emprendiendo las acciones que se consideren oportunas.
  • Revisar con frecuencia los mails y teléfonos vinculados a cada red social. En las empresas pasa con frecuencia que el personal rote y a veces eso conlleva que se queden asociados emails o teléfonos antiguos.
  • Evitar emails genéricos vinculados a cada red social, tipo admin o info, a los que no se accede con frecuencia.
  • Tener un correo electrónico y una contraseña diferentes para cada red social.
  • Cambiar la contraseña cada seis meses como mínimo, utilizando conceptos que no tengan sentido, con más de 8 carácteres y alternando cifras, letras, símbolos, minúsculas y mayúsculas. Un ejemplo de contraseña de baja seguridad sería: FBClosca_2021. Hay muchos generadores de contraseñas random en Google que pueden serte de ayuda.
  • Guardar los datos de acceso en archivos seguros y controlar quién tiene acceso a ellos.
  • Vigilar qué dispositivos, usuarios y aplicaciones están conectados a tus redes sociales.
  • Comprobar desde qué remitentes las empresas de redes sociales se ponen en contacto contigo por mail. En el caso de Instagram, los únicos remitentes seguros son security@mail.instagram.comno-reply@mail.instagram.com. Instagram tiene una función en la app en el apartado de Configuración / Seguridad/ Emails de Instagram que permite ver qué mails son los Instagram ha mandado.
  • Formar al personal en ciberseguridad.
  • Proteger el contenido publicado haciendo copias de seguridad periódicas de Instagram. Se puede hacer desde la misma aplicación, puedes buscar cómo hacerlo en Google.
  • En el caso que te hackeen la cuenta, proporcionar a Instagram/Facebook desde buen principio una cuenta de correo electrónico nueva con tu dominio. Es importante que para que restablezcan tu cuenta, la asocien a un mail que no esté conectado a nada, ni páginas de Facebook, Instagram, etc. Instagram no lo hace, pero debería sugerir desde un inicio que se cree una cuenta nueva de correo electrónico con el dominio corporativo para poner como contacto para recuperar la cuenta. Estáte atento/a y proporciónala tú desde el principio del proceso.

Aprendizajes:

A nivel interno hemos aprendido muchas cosas de esta experiencia, como:

  • No quedarse de brazos cruzados y dejar la solución en manos de la policía, Instagram o Facebook. Hay que actuar y movilizarse, cuanto más rápido mejor. Cada hora cuenta.
  • Tener un plan de contingencia preparado para que, en caso de necesitar, todo el equipo tenga tareas asignadas, pueda coordinarse bien y sepa a quién dirigirse.
  • La importancia de invertir recursos en ciberseguridad.
  • Incorporar al flow de copias de seguridad de la empresa las redes sociales.
  • No dar por sentado que esto le pasa a todo el mundo menos a nosotros, tomar conciencia de que todos somos vulnerables a un ciberataque.
  • Es surrealista que en situaciones como esta, Facebook e Instagram no tengan un teléfono de contacto directo al que podamos llamar para intentar solucionar esto de forma rápida y efectiva. Es imprescindible intentar tener un buen contacto directo en estos casos. Sea a través de la agencia o profesional que se encargue de los ads, networking, etc.
  • Buscar información y ayuda profesional.

Si tienes dudas o quieres consejo sobre alguna cuestión en particular, escríbenos y estaremos encantados de ayudarte, sharing is caring :) 

Puede que te interese

Thanks, we are back!
The Maison & Objet fair in Paris and the return to face-to-face events

Dejar un comentario

Este sitio está protegido por hCaptcha y se aplican la Política de privacidad de hCaptcha y los Términos del servicio.