La Aplicación InstaAgent demuestra que la estafa para Medios Sociales sigue siendo efectiva

¿Le gustaría saber quién ha visto su perfil de medios sociales?

Mucha gente lo hace, y es por eso que una gran cantidad de perfiles de medios sociales terminan siendo hackeados.

Reportes recientes revelan que Apple y Google eliminaron una aplicación popular de sus respectivas tiendas después de descubrir que eran maliciosas. “Who’s Viewed Your Profile—InstaAgent” en iOS y “Who View Me—InstaAgent” en Google Play, aplicaciones que prometían mostrar quién ha visto la cuenta de Instagram de un usuario, fueron retiradas después de que se descubriera que estaban hurtando credenciales y enviándolas a un servidor remoto.

El desarrollador alemán David Layer-Reiss dio a conocer este descubrimiento a través de Twitter, y lo hizo diciendo, “¡‘Who Viewed Your Profile’ #Instaagent enviará su nombre de usuario y contraseña de Instagram a un servidor desconocido!” La información recolectada se utilizaría entonces para secuestrar cuentas y publicar imágenes sin la autorización de los usuarios.

Con casi un millón de descargas de la App Store antes de que fuera retirada, la publicitada función de la aplicación captó el interés de los usuarios, y ganó el apoyo suficiente para llegar a los primeros lugares de la lista de aplicaciones gratuitas del Reino Unido durante cuatro días. Asimismo, llegó a los primeros lugares de las listas de descargas más populares en Estados Unidos, Canadá y Alemania. Layer-Reiss profundiza, “Diría que ‘Who Viewed Your Profile – InstaAgent’ es el primer malware de la iOS App Store que se ha descargado medio millón de veces”. Por otro lado, la versión Android de la aplicación se descargó 100,000 veces – un número considerable dada su baja puntuación de 2.2.

Instagram, la plataforma propiedad de Facebook, ya había advertido a sus usuarios sobre este tipo de trampas de las aplicaciones de terceros, “Nunca le dé acceso a un tercero a un sitio web o aplicaciones que no sigan los lineamientos de la comunidad o nuestros términos de uso (incluyendo sitios que venden o prometen obtener seguidores o ‘Me gusta’ gratuitos), ya que probablemente es un intento por utilizar su cuenta de manera inadecuada”.

Sin embargo, aunque los usuarios están mucho más conscientes de que esta treta provoca grandes problemas de seguridad, los criminales cibernéticos aún ven esto como un anzuelo efectivo para aprovechar la gran curiosidad del propietario de la cuenta para sus fines perversos.

Esto parece un viejo truco contenido en el manual del cibercriminal, pero que sigue siendo efectivo. Esta no es la primera vez que las partes maliciosas utilizan la curiosidad de saber “quién ha visto su perfil” para convertir a los usuarios de medios sociales en víctimas voluntarias. Los esquemas de clickjacking y de phishing que involucran a la treta del Facebook Profile Viewer han demostrado ser efectivos. El año pasado, un estudio reveló que el fraude más efectivo de Facebook aprovechó la curiosidad de los usuarios de querer saber quién ha visto sus perfiles, que representa 30% de los links maliciosos que infectaron a los usuarios ese año. Los estafadores electrónicos también aprovecharon la inmensa popularidad de Twitter y aprovecharon su rapidez con la que se propaga para hacer que los usuarios dieran clic en un link malicioso. La aplicación, cuyo nombre es Wh0 Viewed Y0ur Pr0file, engañó a los usuarios para dar acceso a sus credenciales, enviando 6972 tuits en sólo quince minutos.

Todos debemos estar conscientes de esta realidad: hasta ahora, hay evidencias de que ninguna aplicación legítima y segura permite a los usuarios de medios sociales saber quién ve y tiene acceso a sus cuentas de medios sociales. Salvo los reportes de “vista de perfiles” de LinkedIn; los sitios y aplicaciones de medios sociales ni ofrecen ni apoyan a este tipo de servicio. Lo más probable es que quien promueve una aplicación como esta sea un fraude que permite que los hackers tengan acceso a la cuenta de un usuario.

Este incidente también debería ser una llamada de atención a los usuarios móviles, especialmente a los usuarios de iOS, para que nunca bajen la guardia. A pesar del proceso de aprobación de la prestigiada App Store de Apple, las aplicaciones maliciosas pueden colarse. Y a pesar de ser descubierta y retirada, la aplicación aún logra comprometer a casi un millón de cuentas.


Posted

in

by

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.