SophosLabs Uncut

Estafas por infracción de derechos de autor en Instagram ¡No te dejes engañar!

Si creas algún tipo de contenido online, incluso si sólo eres un bloguero de vez en cuando o un usuario ocasional de las redes sociales, casi seguro que sabes lo fácil que es para otras personas copiar tu material y publicarlo como propio.

No nos referimos a los enlaces, los shares, los retuits, etc., que son formas legítimas de promocionar tu trabajo.

Nos referimos al scraping, la copia o la reedición de tu contenido original por parte de otra persona, como si hubiera creado el material por sí misma sin molestarse en pedir permiso.

Al mismo tiempo, también sabrás lo fácil que es acabar acusado de infringir los derechos de autor, incluso si siempre tienes cuidado de utilizar el material de terceros de acuerdo con las directrices de la licencia del creador original.

Así que, dada la frecuente polémica que rodea a las cuestiones de derechos de autor online, muchas redes sociales han establecido procedimientos formales para presentar quejas y apelar contra las sanciones.

Los procedimientos de Instagram, por ejemplo, se enumeran con cierto detalle en su página de ayuda oficial, donde se explica tanto cómo reclamar si crees que te han estafado, como cómo responder si te han acusado falsamente.

Gancho para estafas

Como puedes imaginar, los ciberdelincuentes han aprendido a utilizar los avisos de infracción de derechos de autor como cebo en las estafas de phishing.

Fingiendo ser una red social como Instagram, intentan asustarte haciéndote creer que hay una denuncia oficial de derechos de autor contra ti, mientras que al mismo tiempo te dan una forma rápida y fácil de responder con una contrademanda.

Los ciberdelincuentes saben que la denuncia es totalmente falsa, y saben que tú sabes que es falsa.

Pero en lugar de dejar que te des cuenta de que es fraudulenta, te engañan para que pienses que la denuncia es real, pero que la parte que no es cierta es la acusación hecha por el denunciante.

Para ello, no te acusan ni te amenazan con demandar, sino que te ofrecen una forma fácil de “demostrar” tu “inocencia” proporcionando un enlace para impugnar la “denuncia”.

Aunque esperamos que te des cuenta de inmediato de una estafa por correo electrónico de este tipo, tenemos que admitir que algunos de los phishing de derechos de autor que hemos recibido en las últimas semanas son mucho más creíbles y están mejor escritos que muchos de los ejemplos sobre los que hemos escrito antes.

Como éste:

Hola, @nakedsecurity

Recientemente hemos recibido una queja sobre un post en tu Instagram. Tu post ha sido denunciado por infringir los derechos de autor.

Tu cuenta será eliminada si no haces ninguna objeción a la demanda contra derechos de autor. Si crees que esta determinación es incorrecta, por favor rellena el formulario de objeción desde el siguiente enlace.

El botón [Apelación] de este ejemplo utiliza un enlace acortado (éste procede de bit.ly), pero tanto si compruebas el destino del enlace de antemano como si haces clic de todos modos, el sitio web resultante no parece tan falso como cabría esperar.

Para comprobar un enlace de bit.ly antes de visitarlo, pega el enlace en la barra de direcciones de tu navegador y añade un signo más (+) al final, lo que indica a bit.ly que muestre el enlace original sin redirigirlo a él.

En este caso, los estafadores han registrado el nombre de dominio falso, pero no demasiado distinto, fb-notify PUNTO com, y el enlace que te dan te lleva a una página de estafa personalizada que hace referencia explícita a tu cuenta:

En la captura de pantalla anterior, las estadísticas de la cuenta son correctas, o lo eran en el momento en que recibimos el correo electrónico, y la imagen que se muestra procede efectivamente de nuestra página de Instagram. (Irónicamente, eso significa que el propio correo electrónico infringe los derechos de autor).

En otras páginas enlazadas por estos estafadores, la imagen robada por los delincuentes siempre parecía estar sacada de la penúltima publicación de la página de Instagram de la víctima. Esto puede ser una coincidencia, o puede ser una estratagema deliberada de los estafadores para elegir una imagen lo suficientemente reciente como para que te acuerdes de su publicación, pero no tan reciente como para que la reclamación de derechos de autor parezca irrealmente rápida.

La estafa

Cualquiera que llegue a este punto seguramente está empezando a creer en la estafa, lo que haría que la siguiente página pareciera bastante inofensiva, especialmente por el candado HTTPS y el nombre de dominio fb-notify, que parece indicar que todo está bien:

A continuación, el sitio web finge que has cometido un error al escribir tu contraseña y te dice que lo intentes de nuevo, presumiblemente como una forma sencilla para que los ciberdelincuentes descarten los intentos de inicio de sesión en los que un usuario introduce cualquier cosa para ver qué sucede después:

A continuación, aparece un mensaje lo suficientemente creíble que dice que tu recurso se ha presentado con éxito:

Por último, los delincuentes te redirigen a la página real de derechos de autor de Instagram que hemos mencionado anteriormente, presumiblemente para añadir un aire de legitimidad dejándote en un sitio web genuino:

¿Qué hacer?

  • No hagas clic en los enlaces “útiles” de correos electrónicos. Infórmate de antemano sobre cómo gestionar las reclamaciones de derechos de autor en Instagram, para conocer el procedimiento antes de seguirlo. Haz lo mismo con las demás redes sociales y sitios de distribución de contenidos que utilices. No esperes a que llegue una reclamación para saber la forma correcta de responder. Si ya conoces la URL correcta que debes utilizar, nunca tendrás que confiar en ningún enlace de ningún correo electrónico, ya sea real o falso.
  • Piensa antes de hacer clic. Aunque el nombre de la web en esta estafa es algo creíble, está claro que no es instagram.com o facebook.com, que es casi seguro lo que esperarías. Esperamos que no hagas clic en primer lugar (véase el punto 1), pero si visitas el sitio por error, no tengas prisa por seguir adelante. Unos segundos para detenerse y comprobar los detalles del sitio serán un tiempo bien empleado.
  • Utiliza un gestor de contraseñas y 2FA siempre que puedas. Los gestores de contraseñas ayudan a evitar que pongas la contraseña correcta en el sitio equivocado, porque no pueden sugerir una contraseña para un sitio que nunca han visto antes. Y el 2FA (esos códigos de un solo uso que utilizas junto con una contraseña) pone las cosas más difíciles a los ladrones, porque tu contraseña por sí sola ya no es suficiente para darles acceso a tu cuenta.
  • Habla con un amigo que conozcas cara a cara y que lo haya hecho antes. Si eres activo en las redes sociales o en la blogosfera, también puedes prepararte por si alguna vez recibes una notificación de infracción de derechos de autor de verdad. (Suponemos que la acusación será falsa, pero la denuncia en sí existirá). Si conoces a alguien que ya haya pasado por el proceso, pregunta a ver si te cuenta cómo le fue en la vida real. Así será mucho más fácil detectar las quejas falsas en el futuro.
  • Ve nuestro vídeo a continuación para obtener más consejos. A principios de 2021, presentamos una charla en Facebook Live sobre la historia y la evolución de este tipo de estafas. Si tienes algún amigo que dependa de las redes sociales para generar ingresos, y al que le preocupe que le corten la cuenta, enséñale el vídeo para protegerlo de trucos como este.

 

Dejar un comentario

Your email address will not be published.