Laramalone5917 quiere enviarte un mensaje. Su cuenta de Instagram es pública y no tiene ninguna publicación. No tenía ningún seguidor cuando me mandó el mensaje, pero a la semana ya tenía 47 y seguía a 94. En su biografía pone que es de Córdoba y tiene una imagen principal de una chica joven en la playa. Cuando accedo al mensaje, se trata de un chat de grupo con 14 personas más. Esta usuaria, que es la administradora del chat, envía un enlace que te redirige a una página pornográfica.
Si tienes una cuenta de Instagram, lo más probable es que hayas recibido una o varias solicitudes similares a la de Lara a través de un mensaje que contiene un enlace. Lara no existe, no es una mujer, sino una botnet, también conocida como un «ejército zombi». En este caso particular, suelen ser cuentas cuyo patrón es crear grupos y enviar un enlace pornográfico de forma automática, utilizan un nombre de usuario con «nombre-nombre-número», tienen fechas de creación similares y todas realizan una actividad idéntica.
La empresa Avast, un software antivirus, señala que es «una red constituida por un gran número de equipos informáticos que han sido ‘secuestrados’ por malware, de forma que quedan a disposición de un hacker». Hoy en día, se consideran una de las mayores amenazas en Internet y un negocio que mueve grandes cantidades de dinero al año.
Marcelino Madrigal, un conocido experto en ciberseguridad, explica que una botnet es un conjunto de cuentas que están automatizadas y se crean, en la mayoría de los casos, por cuestiones monetarias. «Funcionan para captar dinero y generar todo tipo de ciberdelitos, como phishing, robar contraseñas o SCAM (estafas a través de medios electrónicos)», añade.
Este tipo de perfiles falsos suele utilizar imágenes robadas de modelos que se repiten constantemente. «Una botnet suele utilizar una fotografía de una mujer exuberante para hablarte por mensaje directo. Pueden decirte ‘voy a enseñarte unas fotos mías’. Eso es muy complicado que suceda en la vida real. Intentan utilizar la inocencia de la gente», detalla Marcelino.
Las botnets existen en todas las redes sociales desde hace años y, según Marcelino, «el origen es un poco oscuro». «Muchas de estas cuentas provienen de países del este y se dedican a redirigirte a través de un enlace a páginas normalmente pornográficas en las que distribuyen malware, que son programas similares al de un virus que se utilizan para robarte contraseñas u otras informaciones. Una botnet no la crea cuatro gamberros para entretenerse, sino que siempre hay un interés económico de por medio», argumenta.
Antes, en el caso de Instagram, era frecuente ver cómo este tipo de perfiles falsos solían mandar solicitudes de amistad o dar «me gusta» a las publicaciones de esta red social. Nos hemos acostumbrado a que eso suceda y dejamos de plantearnos quién es la persona que hay detrás. Pero ahora las botnets también te mandan mensajes directos con enlaces engañosos. Según Marcelino, «las redes sociales no prestan la atención necesaria a las botnets hasta que empiezan a surgir problemas. Teniendo en cuenta que las redes conocen todos nuestros datos e incluso, nos colocan publicidad personalizada, debería ser muy fácil detectar que detrás de ese tipo de perfiles no hay una persona real. Pero eso implica gastar recursos, dinero y tiempo en pararlo, y no quieren hacerlo».
¿Qué sucede si hago clic en el enlace de una botnet?
Me reúno con un informático para acceder de forma segura al enlace que me ha enviado Laramalone5917. Hago clic y me redirige a una página web intermediaria que se llama Dateszone. Recibo una advertencia: «Vas a ver fotos con desnudos. Por favor, sé discreto». Le doy a «continuar» y aparece un cuestionario. Respondo a una serie de preguntas como «¿Aceptar mantener en secreto la identidad de estas mujeres?», «Solo quieren sexo rápido. No quieren tener citas románticas. ¿Aceptas esta condición?» o «¿Tienes al menos 25 años?». Tras este cuestionario, me redirigen a otra página: Loveaholics, un sitio web de citas. Me vuelve a pedir que responda a una serie de preguntas, pero esta vez preguntando por el género, preferencias sexuales, edad, domicilio, contraseñas, estado civil y correo electrónico. Se supone que te piden esos datos para crearte una cuenta y aseguran, incluso, que se toman «muy en serio» la privacidad.
Te registras de forma gratuita en Loveaholics y accedes a la cuenta. No has colgado ni una fotografía y no llevas ni un segundo en línea cuando empiezas a recibir mensajes de mujeres. Sin embargo, no son personas reales, sino una botnet que envían mensajes automáticos, creando la sensación de que hay más usuarios reales. El truco está en que te hablan, pero no te dejan responder hasta que te haces una cuenta prémium. Muchos usuarios acaban pagando la suscripción y después se encuentran problemas para poder darse de baja de ese servicio. De hecho, hay varias páginas donde los usuarios están denunciando que es una estafa. Además, en la versión prémium sigue habiendo botnets e, incluso, indican más perfiles en tu zona de los que realmente hay, porque puedes ver a la misma chica en Madrid que en Sevilla o Londres. Los perfiles están repetidos con las mismas imágenes, pero nombres diferentes. Eso es una forma de detectarlos. Lo irónico es que la empresa asegura que no permite spamming dentro de sus servicios, pero, sin embargo, ellos sí utilizan botnets para inundar plataformas como Instagram con enlaces afiliados.
Entonces, hay que tener cuidado con este tipo de sitios web de citas o pornográficas, porque, además de ser estafados, te pueden robar los datos. Si leemos los términos del servicio de Loveaholics encontramos que recopila los siguientes datos: las informaciones que se suben al perfil (fotos y vídeos), los mensajes que envíes por el chat, datos de las transacciones que realizas, datos de otras redes sociales que vinculas, la ubicación y datos relacionados con su uso del sitio. En estas condiciones también explican que pueden realizar perfiles duplicados con tus datos o usar tus fotografías «con fines publicitarios y comerciales, libre de derechos de autor».
En el apartado «uso de su información personal» afirman: «Usted reconoce y declara y manifiesta que nos otorga a nosotros, a nuestros sitios asociados y grupos de empresas, una licencia libre de derechos de autor, irrevocable, internacional, no exclusiva y perpetua para usar, copiar, publicar, mostrar, reformatear, traducir, distribuir la información o contenido, y garantizar y autorizar licencias a terceros de la misma. Además, usted renuncia a cualquier derecho moral que pudiese tener sobre dicha información o contenido. Podemos asignar o sublicenciar la licencia de arriba a nuestros afiliados y sucesores sin necesidad de su aprobación».
Asimismo, los datos personales que esta empresa recopila sobre sus usuarios son almacenados en una «localización fuera del Espacio Económico Europeo», por lo que no se acogen a la política de privacidad de la Unión Europea. De hecho, la empresa asegura que no puede «garantizar la seguridad de sus datos personales», así como tampoco puede asegurar que esa información que recopilan pueda ser «usada o revelada de manera inconsistente» a su política de privacidad.
Esto sucede con Loveaholics, pero también con más páginas similares. Si volvemos a pinchar en el enlace que nos envió la botnet por Instagram y hacemos el cuestionario que te exige, luego te redirige a otra página diferente a Loveaholics. En concreto, nos redirige a Relacionesmaduras.com.
Al margen de los problemas que conlleva acceder a estos sitios web y enlaces que nos puede enviar una botnet, estas páginas también ganan dinero por cada visualización. Son páginas que utilizan lo que se conoce como «marketing de afiliación». Una botnet atrae a las personas a sitios web afiliados, que suelen ser pornográficos, y luego las empresas de estas páginas pagan al controlador de la botnet pornográfico por generar tráfico a su sitio web.
No obstante, Marcelino Madrigal dice: «El que te redirijan a una página para ganar algo de dinero a través de ese clic es lo que menos pueden hacer porque, normalmente, los daños son mucho mayores. Estamos hablando de estafas bancarias o robo de datos del dispositivo que utilizas. Esas cosas son las que realmente les interesan». También recomienda: «Si una persona que no conoces te envía un mensaje directo con un enlace, no hay que hacer clic porque seguramente te van a dañar. El objetivo de esta gente no es gastarte una broma, sino que es puramente monetario».
Para evitar que tu ordenador esté en riesgo o se vea comprometido por una botnet, Marcelino aconseja tener actualizado tanto el sistema operativo como las aplicaciones y el antivirus.
Los usuarios de Instagram o cualquier red social deben ser escépticos ante los «me gusta», peticiones de mensajes directos o solicitudes de amistad de cualquier perfil desconocido y sospechoso. Y en el caso de que encuentre un posible perfil falso, hay que informar a la red social de que es spam. No hacer clic en enlaces que os envíen personas desconocidas y, como dice Marcelino Madrigal, hay que utilizar siempre el sentido común.