Cómo una dueña de negocio se recuperó después de ciberataque
El siguiente artículo detalla una conversación entre Phishing for Answers y Sara Albert, la dueña de un pequeño negocio quien fue víctima de un ciberataque en mayo de 2022. Sarah describe cómo estafadores tomaron control de sus cuentas de redes sociales y mandaron mensajes a todos sus seguidores, lo cual resultó en una falta de ganancias durante de unas semanas. Lean más para aprender cómo ella retomó control de sus cuentas después del ataque.
Estableciendo su negocio
Sarah está en frente de sus pinturas artísticas
Les presentamos a Sarah Albert, una artista y dueña basada en Washington, DC. Ella es propietaria de SarahPaintsRappers, un negocio de arte que crea retratos brillos de músicos famosos (Instagram: @sarahpaintsrappers; Etsy: etsy.com/shop/SarahPaintsRappers). Empezó a pintar después de perder su trabajo durante de la pandemia de COVID-19. En menos de 2 años, SarahPaintsRappers creció en un negocio sostenible, gracias a las redes sociales. Sarah lanzó sus cuentas profesionales por Instagram y TikTok, donde los influencers compartieron su contenido con fin de ganar miles de seguidores y establecer una empresa perdurable.
Ataque repentino de redes sociales
Sin embargo, en mayo de 2022, Sarah paraba de pintar cuando unos hackers desconocidos tomaron control de sus cuentas. Ella explicó que recibió un mensaje por Instagram de otro supuesto artista, quien sostuvo que estaba participando en una competencia de arte. Esta persona le preguntó a Sarah para su voto. Sarah dijo que el mensaje pareció llegar desde una cuenta legítima y que como artista, ella frecuentemente ayuda otros artistas a promover sus trabajos. Después de haber respondido al mensaje, los hackers le mandaron un código por texto y cuando ella lo verificó, tomaron control completo de sus cuentas profesionales y personales.
Los estafadores trabajaron de manera rápida. Dentro de unos minutos, cambiaron los emails y números telefónicos asociados con las cuentas, y también añadieron códigos de backup y doble autenticación (en inglés, 2FA o MFA). Esto constituía un obstáculo enorme porque una de las primeras recomendaciones de Instagram en retomar control de una cuenta hackeada es cambiar la contraseña. Esto sería imposible para Sarah, porque los atacantes cambiaron toda la información de contacto en la cuenta. Además, los hackers se desligaron el perfil de Facebook de las cuentas de Instagram, sustituyéndolo con nuevos perfiles de Facebook.
Las Big Tech, Poco Ayuda
Durante las siguientes semanas, Sarah intentaba de todas maneras posibles ponerse en contacto con Instagram y su empresa matriz, Meta. Mandó emails a todos los servicios de seguridad, atención al cliente, y fraude electrónico que se incluyeron el sitio web de Instagram. Sus emails contenían todas las pruebas necesarias para verificar su identidad – fotos personales, información de contacto, y capturas de pantallas. Cuando no lograba recibir una respuesta, Sarah envió mensajes a empleados de Meta por LinkedIn y pidió que mandaran emails internos a la empresa.
Mientras ella hacía todos los esfuerzos posibles para retomar control de sus redes sociales, los hackers duplicaron sus ataques contra otras cuentas con las mismas estrategias. Según Sarah, estos atacantes mandaron mensajes a sus seguidores en Instagram y empezaron a explotarlos también. Algunos de estos usuarios denunciaron los mensajes fraudulentes a Instagram, pero la empresa falló en tomar acción.
Un video memorable
Sarah se dio cuenta de que tendría que buscar métodos alternativos. Entonces ella decidió a hacer una verificación de video. Esta etapa requiere que usuarios manden un “vídeo selfie” para comprobar sus identidades y confirmar que son personas humanas y auténticas. Aunque ella utilizaba este proceso para tomar control de su cuenta personal con éxito, Sarah todavía no había recuperado acceso a su cuenta profesional. En ese momento, Sarah comenzaba a trabajar en un restaraunte por la parálisis de su negocio de arte.
Cuando ella empezaba a perder toda la esperanza, se apareció una oportunidad. Uno de sus seguidores por Instagram, quien también había sido victimizado por los mismos estafadores que apuntaron a Sarah, logró en tomar control de sus cuentas. Esta seguidora era particularmente importante porque estaba en una foto en la cuenta profesional de Sarah y por lo tanto, esta persona posiblemente pudiera ayudar en verificar la identidad de Sara. Las dos mujeres se reunieron y grabaron múltiples videos con diferentes tipos de luz y estilos de pelo hasta que tuvieron éxito. Después de semanas de llamar, mandar emails, y buscar soluciones en Google, Sarah finalmente retomó control de su cuenta profesional de Instagram.
Lecciones aprendidas
Sarah cuenta del ataque en WDVM noticias.
Cuando preguntamos a Sarah cómo intentaría proteger sus redes sociales en el futuro, Sarah tuvo muchas respuestas. Además de crear información nueva de contacto, ella descargó códigos de backup que se cambian cada mes. También activó a 2FA, cambió su contraseña de Facebook, y desligó su cuenta profesional de Instagram de su cuenta personal.
Aunque retomaba control de sus cuentas, Sarah admitió que sufrió un revés en su negocio por causa del ciberataque. Aparte de la perdida temporánea de 8,000 seguidores y una perdida notable de ventas, ella explicó que ahora la comunidad no tiene tanta confianza en sus cuentas de Instagram. Es más, cuando intentó compartir públicamente los detalles sobre el incidente, Sarah notó la apariencia de otras estafas en el internet que apuntaron usuarios victimizados por ciberataques. Por ejemplo, después de publicar posts en TikTok sobre sus experiencias, Sarah observó unos usuarios sospechosos etiquetados en sus posts.
El hackeo de redes sociales está creciendo, y mientras cualquier usuario puede ser apuntado, los pequeños negocios son especialmente vulnerables. En 2021, se estimaron que 74% de pequeños negocios utilizan redes sociales semanalmente, que implica que dependen en estas redes por sus operaciones. Para reducir las posibilidades de ser victima de un ataque, estos negocios tienen que incorporar las medidas de seguridad que Sarah adoptó. Mientras los estafadores añaden nuevas herramientas a su arsenal para defraudar a usuarios y hacer ingeniería social, usuarios de redes sociales pueden aceptar nuevos métodos de vigilancia por internet y seguridad de cuenta.
¿Quieren aprender más sobre el hackeo de redes sociales y algunos consejos de qué hacer? Lean nuestro post anterior, Su cuenta en red social fue hackeada - ¿qué hace Ud.?
Approved for Public Release; Distribution Unlimited. Public Release Case Number 22-2091. The author's affiliation with The MITRE Corporation is provided for identification purposes only, and is not intended to convey or imply MITRE's concurrence with, or support for, the positions, opinions, or viewpoints expressed by the author.'©2022 The MITRE Corporation. ALL RIGHTS RESERVED.