Facebook, TikTok y Twitter se unen contra popular foro de cuentas hackeadas

Facebook, Instagram, TikTok y Twitter se unieron esta semana contra un popular foro en donde se venden cuentas hackeadas. Las redes sociales han tomado medidas enérgicas contra usuarios involucrados en el tráfico de cuentas de usuarios secuestradas en sus plataformas. 

La acción coordinada tomó el control de cientos de cuentas. Estas cuentas, según las empresas, han jugado un papel importante en la facilitación del comercio y, a menudo, la reventa lucrativa de cuentas hackeadas. Estas cuentas se enfocan en la reventa de cuentas con nombres de usuario comprometidos y muy buscados.

En el centro de la ola de prohibición de cuentas se encuentran algunos de los miembros más activos de OGUsers. OGUsers es un foro que atiende a miles de personas que venden acceso a redes sociales secuestradas y otras cuentas en línea.

Particularmente apreciados por esta comunidad son los nombres de usuario cortos. Estos a menudo se pueden revender por miles de dólares a aquellos que buscan obtener un nombre personalizado.

Facebook dijo que tomó el control de cientos de cuentas, principalmente en Instagram. Estas cuentas han sido robadas a usuarios legítimos a través de una variedad de tácticas de intimidación y acoso. Estas tácticas incluyen hacking, extorsión, sextorsion, intercambio de SIM y swatting.

Intermediarios

Facebook dijo que se enfocó a una serie de cuentas vinculadas a vendedores clave en OGUsers. Asimismo, a aquellos que anuncian la capacidad de negociar ventas de cuentas robadas.

Como la mayoría de los foros de ciberdelincuencia, OGUsers está plagado de personajes turbios que están allí principalmente para estafar a otros miembros. Como resultado, algunos de los miembros más populares de la comunidad son aquellos que se han ganado la reputación de ser “intermediarios” de confianza.

Estos miembros principales ofrecen servicios de depósito en garantía a cambio de una reducción del costo total de la transacción. Generalmente realizan el servicio a cambio de un 5%. Estos usuarios retienen los fondos del comprador hasta que esté satisfecho de que el vendedor haya entregado las credenciales. Asimismo, cualquier acceso a la cuenta de correo electrónico necesario para controlar la cuenta de la red social secuestrada.

Por ejemplo, una de las cuentas más activas objetivo en la acción de las redes sociales de esta semana es el perfil de Instagram “Trusted”. Este perfil se describe a sí mismo como “intermediario profesional/depósito en garantía de primer nivel desde 2014”.

El perfil de Trusted incluyó varias capturas de pantalla de su personaje de OGUsers, “Beam”, que advierte a los miembros del foro. La alerta sobre un aumento de número de nuevos perfiles de OGUsers que se hacen pasar por él y otros intermediarios en el foro. 

Beam tiene actualmente más puntos de reputación o “comprobaciones” que casi cualquier persona en el foro, salvo quizás los administradores del sitio actuales y anteriores.

Foro hackeado

Afortunadamente, OGUsers ha sido hackeado varias veces a lo largo de los años. Por ello, su base de datos de detalles de usuario y mensajes privados se ha publicado en foros de ciberdelincuentes competidores. Esas bases de datos muestran que Beam fue solo la duodécima cuenta de usuario creada en OGUsers en 2014.

En sus publicaciones, Beam dice que ha realizado más de 10,000 transacciones. De hecho, las bases de datos de OGUsers filtradas revelan detalles interesantes. Algunos mensajes privados en el foro antes de junio de 2020, ofrecen una idea del valor general de las cuentas de redes sociales secuestradas.

En cada uno de los mensajes directos de Beam a otros miembros que lo contrataron como intermediario, incluía la dirección de la billetera bitcoin. En esa dirección el comprador debía enviar los fondos. 

Solo dos de las billeteras de bitcoins que Beam utilizó como intermediarios durante los últimos dos años registraron más de 6,700 transacciones. Las transacciones suman más de 243 bitcoins, o aproximadamente $8.5 millones según la valoración actual (~$35,000 dolares). Beam habría ganado aproximadamente $425,000 en comisiones por esas ventas.

Beam, un canadiense cuyo nombre real es Noah Hawkins, se negó a ser entrevistado cuando fue contactado a principios de esta semana. Pero su cuenta “Trusted” en Instagram fue eliminada hoy por Facebook. También fue eliminada la cuenta “@Killer”, una cuenta personal de Instagram que usó con el seudónimo de “noah/beam”. La cuenta de Twitter de Beam, @NH, ha sido desactivada por Twitter; esta fue hackeada y robada a su propietario original en 2014.

Twitter unido a Facebook

Cuando preguntamos, Twitter confirmó que trabajó en conjunto con Facebook para tomar el control de las cuentas vinculadas a los principales miembros de OGUsers. Twitter citó su política de manipulación de la plataforma y spam. Twitter dijo que su investigación sobre las personas detrás de estas cuentas está en curso.

TikTok confirmó que también tomó medidas para apuntar a las cuentas vinculadas a los principales miembros de OGUusers. No obstante, se negó a decir cuántas cuentas recuperaron.

“Como parte de nuestro trabajo continuo para encontrar y detener el comportamiento no auténtico, recientemente recuperamos varios nombres de usuario de TikTok. Estos nombres de usuario se estaban utilizando para la suplantación de cuentas”, dijo TikTok en una declaración escrita. “Continuaremos enfocándonos en adelantarnos a las tácticas en constante evolución de los malos actores, incluida la cooperación con terceros y otros en la industria”.

“Especialistas en redes sociales”

Otros intermediarios claves que han negociado miles de transacciones de cuentas de redes sociales a través de OGUsers también fueron afectados. Entre los usuarios que formaron parte de la ola de prohibición de esta semana incluyeron a Farzad (OGUser # 81). Este usó las cuentas de Instagram @middleman y @frzd; y @rl. Él era también conocido como “Amp“, un importante intermediario y vendedor de cuentas en OGUusers.

Naturalmente, los principales intermediarios de la comunidad de OGUsers obtienen gran parte de su negocio de los vendedores de redes sociales comprometidas. también de los vendedores de cuentas de juegos en línea, y estos dos grupos tienden a promocionarse entre sí. Entre las cuentas más vendidas objeto de la ola de prohibiciones se encontraba la cuenta de Instagram que pertenece a Ryan Zanelli (@zanelli). Zanelli es un ” especialista en marketing de redes sociales” de 22 años de Melbourne, Australia.

Las bases de datos filtradas de OGusers sugieren que Zanelli es más conocido por la comunidad de OGusers como “Verdict“. Fue el quinto perfil creado en el foro y administrador del sitio desde hace mucho tiempo.

Contactado a través de Telegram, Zanelli reconoció que era administrador de OGUsers, pero negó estar involucrado en algo ilegal.

“Soy uno de los primeros que se registró en el foro, al igual que otros innumerables miembros. Y, ninguna propiedad de las redes sociales que vendo ha sido hackeada u obtenida por medios ilegítimos”, dijo. “Si quieres la verdad, ni siquiera soy dueño de ninguna de las acciones, solo revendo a personas que sí las tienen”.

Otras cuentas eliminadas

Esta no es la primera vez que Instagram llega por sus cuentas. Tal como documenta una historia en The Atlantic, algunas de sus cuentas que sumaban más de 1 millón de seguidores fueron eliminadas a fines de 2018. Esto cuando la plataforma eliminó 500 nombres de usuario que fueron robados, revendidos, y se utilizaban para publicar memes.

“Este es mi ingreso de tiempo completo, por lo que es muy perjudicial para mi sustento”, dijo Zanelli a The Atlantic. The Atlantic lo identificó solo por su nombre de pila. “Estaba tratando de cenar y socializar con mi familia, pero sabiendo en el fondo todo lo que había construido. Todo mi patrimonio neto, simplemente desapareció ante mis ojos”.

Otra cuenta de mucha “reputación” a la que se dirigió la ola de prohibiciones fue la cuenta de Instagram @ h4ck. El canal de ventas de Telegram de esta también anuncia varios servicios para que ciertas cuentas fuesen baneadas y desbaneadas en diferentes plataformas. Entre estas incluidas cuentas de Snapchat e Instagram.

Facebook dijo que si bien esta no es la primera vez que reclama cuentas asociadas con secuestradores, es la primera vez que lo hace públicamente. La empresa dice que no se hace ilusiones de que esta última acción le va a poner fin al problema desenfrenado del secuestro de cuentas para la reventa. No obstante, ve el esfuerzo como parte de una estrategia continua para aumentar los costos para los traficantes de cuentas. También para educar a los potenciales compradores de cuentas sobre el daño infligido a las personas cuyas cuentas han sido secuestradas.

Nueva función de Instagram

En reconocimiento de la magnitud del problema, Instagram lanzó hoy una nueva función llamada “Eliminado recientemente”. La función busca ayudar a las víctimas a reparar el daño causado por la toma de control de una cuenta.

“Sabemos que los ciberdelincuentes a veces eliminan contenido cuando obtienen acceso a una cuenta. Y, hasta ahora la gente no tenía forma de recuperar fácilmente sus fotos y videos”, explicó Instagram en una publicación. 

“A partir de hoy, les pediremos a las personas que primero verifiquen que son los titulares legítimos de la cuenta. Esto cuando eliminen o restauren permanentemente contenido de Eliminados recientemente”.

Facebook no exageró sobre el uso de la extorsión por parte de la comunidad de secuestradores. Asimismo, sobre otras amenazas graves para obtener el control de nombres de usuario muy apreciados. Desearíamos poder recuperar las muchas horas dedicadas a leer mensajes privados de la comunidad de OGUsers. Empero, ciertamente no es raro que los objetivos sean amenazados con ataques de swatting. También pueden amenazarlos con publicar información profundamente personal y/o financiera en línea a menos que renuncien al control sobre una cuenta deseada.

Lo que puedes hacer

Cualquier cuenta que valores debes protegerla con una contraseña única y segura. También debes habilitar la forma más sólida de autenticación multifactor disponible. Por lo general, esta es una aplicación móvil que genera un código de un solo uso. No obstante, algunos sitios como Twitter y Facebook ahora admiten opciones aún más sólidas, como llaves de seguridad físicas.

Siempre que sea posible, evita optar por recibir el segundo factor a través de mensajes de texto o llamadas telefónicas automatizadas. Esto porque estos métodos son propensos a comprometerse a través del intercambio de SIM. Este es un delito que prevalece entre las personas involucradas en el robo de cuentas de redes sociales.

El intercambio de SIM implica convencer a los empleados de la empresa de telefonía móvil. Los convencen para que transfieran la propiedad del número de teléfono del objetivo a un dispositivo que controlan los atacantes.

Estas precauciones son aún más importantes para cualquier cuenta de correo electrónico que puedas tener. Regístrate con cualquier servicio en línea, y es casi seguro que requerirá que proporciones una dirección de correo electrónico.

En casi todos los casos, la persona que tiene el control de esa dirección puede restablecer la contraseña de cualquier servicio o cuenta asociadas. Esto simplemente solicitando un correo electrónico de restablecimiento de contraseña.

Desafortunadamente, muchos proveedores de correo electrónico aún permiten a los usuarios restablecer las contraseñas de sus cuentas enviando un enlace por mensaje de texto al número de teléfono registrado para la cuenta.

La mayoría de los servicios en línea requieren que los usuarios proporcionen un número de teléfono móvil al configurar la cuenta. No obstante, no requieren que el número permanezca asociado con la cuenta una vez establecida.

Aconsejamos a los lectores que eliminen sus números de teléfono de las cuentas siempre que sea posible.  Lo mejor es usar una aplicación móvil para generar códigos de un solo uso para la autenticación multifactor.