Cómo se secuestran las cuentas de redes sociales y cómo prevenirlo

Lectura de 11 min aprox.

Una mañana abres Instagram y encuentras publicaciones que nunca hiciste. Tus amigos reciben mensajes extraños desde tu cuenta pidiéndoles que hagan clic en un enlace. Tu contraseña ya no funciona. Así se ve el secuestro de una cuenta de redes sociales - y le pasa a miles de personas cada día. Esta guía explica cómo los atacantes roban cuentas, qué daños causan y, lo más importante, cómo puedes protegerte. Ya sea que uses Instagram, X, TikTok o cualquier otra plataforma, los pasos de este artículo te ayudarán a asegurar tus cuentas antes de que alguien más tome el control. También aprenderás sobre la autenticación en dos pasos, una de las defensas más efectivas contra el secuestro de cuentas.

¿Qué pasa cuando secuestran tu cuenta de redes sociales?

Se publican cosas sin tu permiso

Lo primero que hace un secuestrador es hacer tu cuenta "suya." Cambian la contraseña, reemplazan el correo registrado y te bloquean. Luego empiezan a publicar desde tu cuenta. Las publicaciones comunes incluyen anuncios de sitios de compras sospechosos o estafas de "dinero fácil." Tus seguidores confían en estas publicaciones porque creen que las hiciste tú. En 2024, la cuenta de Instagram de un estudiante de secundaria fue secuestrada y se publicaron más de 20 anuncios falsos de productos de marca en un solo día.

Se envían mensajes de estafa a tus amigos

La peor parte de un secuestro es que el daño se extiende a tus amigos. El secuestrador envía DMs (mensajes directos) a todos tus amigos desde tu cuenta. Mensajes como "¡Mira este enlace!" "¡Ganaste una tarjeta de regalo!" o "¡Inicia sesión ahora!" Tus amigos creen que el mensaje es tuyo, hacen clic en el enlace e ingresan sus propias contraseñas. Esto se llama phishing, y una vez que una cuenta es secuestrada, las cuentas de los amigos caen una tras otra en cadena. En un caso en una escuela secundaria, la cuenta secuestrada de un estudiante llevó a que 8 compañeros de clase cayeran víctimas en cadena.

Métodos comunes de secuestro

Phishing y reutilización de contraseñas

El método de secuestro más común es el phishing. Recibes un DM o correo diciendo "Se detectó un inicio de sesión sospechoso en tu cuenta. Verifica ahora" o "Violaste nuestros términos de servicio. Confirma en 24 horas o tu cuenta será suspendida." Cuando entras en pánico y haces clic en el enlace, aparece una página de inicio de sesión que se ve exactamente como la real. Si ingresas tu contraseña ahí, esa información va directo al secuestrador. Estas páginas falsas están tan bien hechas que es casi imposible distinguirlas de las páginas reales de Instagram o X, así que siempre revisa la URL cuidadosamente. Las páginas legítimas empiezan con "instagram.com" o "x.com," mientras que las falsas usan direcciones confusas como "instagram-security-check.com." Para profundizar en cómo reconocer y defenderte del phishing, consulta nuestra guía de protección contra phishing.

La otra causa principal es la reutilización de contraseñas. Por ejemplo, imagina que un sitio de juegos sufre una filtración de datos. Si la combinación de correo y contraseña que usaste para ese juego es la misma que tu inicio de sesión de Instagram, ¿qué pasa? Los secuestradores toman los datos filtrados e intentan iniciar sesión en Instagram, X, TikTok, correo y todos los servicios que puedan encontrar. Esto es diferente del secuestro de sesión, pero el resultado es el mismo - tu cuenta es robada. Solo una filtración de contraseña de un servicio pone en riesgo todas tus cuentas. Por eso usar una contraseña diferente para cada servicio es la base absoluta de la prevención de secuestros.

Cómo prevenir el secuestro

Configura la autenticación en dos pasos

La forma más efectiva de prevenir el secuestro es activar la autenticación en dos pasos (2FA). Cuando configuras 2FA, se agrega un paso de verificación extra después de ingresar tu contraseña. Aunque tu contraseña se filtre, nadie puede iniciar sesión sin pasar el segundo paso. Para aprender más sobre cómo funciona 2FA y los diferentes tipos disponibles, consulta nuestra guía de autenticación en dos pasos. Así se configura en las principales redes sociales.

En Instagram, abre el menú (ícono de tres líneas) en la esquina superior derecha de tu perfil, luego toca "Configuración y privacidad" luego "Centro de cuentas" luego "Contraseña y seguridad" luego "Autenticación en dos pasos." Se recomienda elegir una aplicación de autenticación (como Google Authenticator). También puedes usar SMS (mensajes de texto), pero las aplicaciones de autenticación son más seguras.

En X (antes Twitter), toca tu ícono de perfil arriba a la izquierda, luego ve a "Configuración y soporte" luego "Configuración y privacidad" luego "Seguridad y acceso a la cuenta" luego "Seguridad" luego "Autenticación en dos pasos." Desde 2023, X eliminó la autenticación por SMS para usuarios gratuitos, así que necesitas usar una aplicación de autenticación. En TikTok, abre el menú (ícono de tres líneas) arriba a la derecha de tu perfil, luego toca "Configuración y privacidad" luego "Seguridad" luego "Verificación en 2 pasos." Puedes elegir SMS o una aplicación de autenticación. En cualquier plataforma, la configuración toma menos de 5 minutos. Solo 5 minutos de trabajo mejoran drásticamente la seguridad de tu cuenta.

Qué hacer si tu cuenta es secuestrada

Lista de pasos sin entrar en pánico

Si tu cuenta es secuestrada, no entres en pánico. Siguiendo estos pasos en orden, puedes minimizar el daño. Primero, cambia tu contraseña. Si aún puedes iniciar sesión, cámbiala inmediatamente desde la configuración. Si no puedes iniciar sesión, usa el enlace "Olvidé mi contraseña" para restablecerla con tu correo o número de teléfono registrado.

Luego, cierra todas las sesiones. En Instagram, ve a "Configuración y privacidad" luego "Centro de cuentas" luego "Contraseña y seguridad" luego "Dónde iniciaste sesión" y cierra todas las sesiones excepto la actual. X y TikTok tienen funciones similares. Esto desconecta forzosamente la sesión activa del secuestrador.

Finalmente, reporta a la plataforma. En Instagram, ve a "Configuración y privacidad" luego "Ayuda" luego "Reportar un problema." En X, ve a "Configuración y soporte" luego "Centro de ayuda." Si el secuestrador cambió tu correo y no puedes restablecer tu contraseña, reportar a la plataforma es tu única forma de recuperar la cuenta. Pueden pedirte una foto de identificación para verificación. También avisa a tus amigos por otros medios (como LINE o una llamada) que tu cuenta fue secuestrada y que no abran DMs tuyos. Para un plan de respuesta integral que cubra cuentas más allá de las redes sociales, nuestra guía de respuesta a incidentes personales es un recurso útil.

Lo que puedes hacer ahora mismo

1. Activa la autenticación en dos pasos en Instagram, X y TikTok ahora mismo. Toma 5 minutos desde la sección "Seguridad" en configuración
2. Verifica si las contraseñas de tus redes sociales son iguales a las de otros servicios. Si alguna coincide, cámbiala inmediatamente
3. Cuando recibas DMs o correos pidiéndote que "inicies sesión," acostúmbrate a abrir la app tú mismo en vez de hacer clic en el enlace
4. Genera contraseñas fuertes diferentes para cada servicio con Passtsuku.com. Si no puedes recordarlas todas, usa un gestor de contraseñas

Para aprender más sobre cómo proteger tus cuentas en línea, las guías de seguridad en redes sociales (Amazon) ofrecen consejos prácticos que puedes aplicar hoy.

Preguntas frecuentes

¿Debo reportar un secuestro a la policía?

Si hay daño financiero o si el fraude por suplantación se está extendiendo, se recomienda reportar a la policía. En Japón, puedes consultar la "Ventanilla de Consulta de Delitos Cibernéticos" de la policía de tu prefectura. Presentar un reporte puede llevar a una investigación. Incluso sin daño financiero, tener un registro puede ayudar si se descubre daño después.

¿Una cuenta privada está a salvo del secuestro?

Configurar tu cuenta como privada no cambia el riesgo de secuestro. La configuración privada solo limita quién puede ver tus publicaciones - si tu contraseña se filtra, alguien puede iniciar sesión igual. Los mensajes de phishing llegan por DMs y correo sin importar si tu cuenta es pública o privada. No dejes que la configuración privada te dé una falsa sensación de seguridad. Siempre configura la autenticación en dos pasos y evita reutilizar contraseñas.

¿Cuál es el objetivo del secuestrador?

Los secuestradores tienen tres objetivos principales. Primero, difundir estafas - usan tu cuenta para enviar mensajes de phishing a tus amigos y secuestrar más cuentas. Segundo, publicar anuncios y spam - promocionan sitios de compras falsos y servicios sospechosos a tus seguidores. Tercero, exigir rescate - algunos secuestradores te contactan diciendo "paga si quieres tu cuenta de vuelta." En todos los casos, tu cuenta es solo una "herramienta" para el secuestrador.