Toni Martinez 
Nuevo engaño para quitarte una cuenta de Instagram.
Un nuevo aviso viral alerta de una trampa especialmente peligrosa: no empieza con un mensaje de un desconocido, sino desde una cuenta que la víctima reconoce. El gancho puede ser una supuesta verificación de Instagram, un sorteo o una oferta de empleo. El objetivo, sin embargo, es siempre el mismo: llevar al usuario a una página falsa, robar sus credenciales y convertir su propia cuenta en el siguiente altavoz del fraude.
La confianza, el verdadero anzuelo
La escena parece inocente. Llega un mensaje privado de Instagram desde la cuenta de una amiga, un familiar o alguien con quien ya hemos hablado. No hay faltas demasiado llamativas, no hay una promesa imposible de millones de euros ni un remitente extraño. Solo una petición breve: “ayúdame con una verificación”, “vota por mí en este sorteo” o “mira esta oferta de empleo”. Después, un enlace.
Ese es el núcleo del engaño que advierte el vídeo analizado: los ciberdelincuentes ya no necesitan llamar a la puerta con una identidad desconocida. Les basta con colarse en una cuenta real, usar su reputación y multiplicar el fraude entre sus contactos. La víctima no baja la guardia porque cree estar hablando con alguien de confianza.
La técnica encaja con el phishing, una forma de fraude en la que el atacante se hace pasar por una entidad o persona legítima para conseguir datos privados, contraseñas o acceso a servicios digitales. INCIBE define esta amenaza como una técnica usada por ciberdelincuentes para simular una entidad legítima y robar información, provocar cargos económicos o infectar dispositivos mediante enlaces o archivos fraudulentos.
Del sorteo a la página falsa
El mecanismo descrito es sencillo, y precisamente por eso funciona. El usuario pulsa el enlace creyendo que va a ayudar a alguien conocido. La página que se abre imita un inicio de sesión de Instagram o de otro servicio asociado. Se le pide usuario y contraseña. En ese instante, la víctima no está entrando en Instagram: está entregando las llaves de su cuenta.
VerificaRTVE documentó un caso muy parecido relacionado con un falso concurso de fotografía en Instagram. El mensaje pedía votar en un concurso y redirigía a una página que simulaba un portal de acceso. INCIBE confirmó a RTVE que era phishing y explicó que los datos introducidos en ese tipo de páginas acaban en manos del atacante. También advirtió de que estos mensajes pueden proceder de cuentas previamente sustraídas, lo que facilita su propagación entre seguidores y contactos.
La trampa tiene una virtud criminal: parece social, no técnica. No hace falta vulnerar el móvil ni romper un sistema complejo. Basta con que una persona confíe, haga clic y escriba su contraseña donde no debe. Por eso los señuelos cambian —verificaciones, sorteos, ofertas de empleo, concursos, avisos urgentes—, pero la estructura se repite.
Por qué duele perder una cuenta
Perder Instagram no es solo perder fotos. Para muchos usuarios es perder años de conversaciones, recuerdos, contactos, mensajes privados, acceso a clientes, reputación profesional y, en algunos casos, ingresos. Una vez dentro, el atacante puede cambiar datos de recuperación, intentar bloquear al propietario real y usar la cuenta para publicar estafas o escribir a nuevos contactos.
INCIBE recoge que una de las amenazas más comunes en redes como Instagram es el robo de cuentas y explica que, cuando el atacante obtiene correo y contraseña, puede cambiar la contraseña y el correo asociado para impedir que el propietario original acceda.
Ahí empieza la segunda fase: la cuenta robada se convierte en disfraz. El delincuente escribe a los contactos de la víctima con el mismo mensaje o con variaciones del guion. Como el remitente ahora es alguien real, la probabilidad de que otros caigan aumenta. Es un efecto dominó: una cuenta comprometida abre la puerta a diez, veinte o cien conversaciones nuevas.
Instagram no te pide datos por mensaje privado
Una de las reglas más importantes es desconfiar de cualquier mensaje que pida entrar en un enlace para “verificar”, “recuperar”, “votar” o “confirmar” algo. Instagram advierte que, si recibes un correo o mensaje sospechoso que afirma ser de Instagram, no debes hacer clic en enlaces ni archivos adjuntos, y permite reportar correos extraños a su dirección de phishing.
Además, Meta recuerda que los correos oficiales recientes de Instagram pueden revisarse desde los ajustes de la cuenta y que los emails legítimos de Instagram proceden de dominios oficiales como @mail.instagram.com.
Esto no significa que todo correo de aspecto oficial sea seguro a simple vista. Significa que la comprobación debe hacerse dentro de la aplicación o en el centro de ayuda oficial, no desde el enlace que llega por mensaje. La diferencia puede parecer mínima, pero es decisiva: quien controla el enlace controla el escenario.
La urgencia como arma
El fraude se apoya en tres emociones: confianza, prisa y miedo a quedar mal. Si el mensaje llega de un amigo y pide ayuda, la víctima quiere responder rápido. Si habla de una oferta de empleo, aparece la oportunidad. Si menciona una verificación o un problema de cuenta, entra el miedo.
Los ciberdelincuentes explotan esa reacción inmediata. Su objetivo es que el usuario no mire el dominio, no pregunte por otro canal y no piense demasiado. La recomendación más eficaz es introducir una pausa: antes de pulsar, escribir a esa persona por WhatsApp, llamarla o preguntarle por otra vía si realmente ha enviado el enlace.
Bitdefender también advierte de fraudes vinculados a sorteos en Instagram en los que se pide hacer clic para confirmar una cuenta, introducir credenciales o aportar datos personales. Entre las señales de alerta figuran los enlaces desconocidos, la urgencia, los premios demasiado atractivos y las cuentas con nombres sospechosos.
La experta en ciberseguridad Maria Aperador en su canal de TikTok publica este video alertando las nuevas técnicas que usan los ciberdelincuentes para robarte las credenciales de tu cuenta de Instagram.
Consejos para no entrar en la trampa:
1º- Activar el doble factor de verificación en tu cuenta.
2º- No dar click a enlaces que llegan por DM aunque sean amigos o gente conocida.
3º- En caso de duda o sospecha, llamar por teléfono a tu amigo o conocido.
Cómo protegerse antes de caer
La primera medida es activar la autenticación en dos pasos. No es una garantía absoluta, pero añade una barrera crítica: aunque alguien consiga la contraseña, necesitará un segundo factor para entrar. Instagram ofrece guías para configurar la autenticación en dos factores y también permite usar aplicaciones de autenticación para generar códigos de acceso.
La segunda es usar una contraseña única. Repetir la misma clave en Instagram, correo electrónico y otras plataformas convierte un robo pequeño en una cadena de accesos. INCIBE recomienda evitar la reutilización de contraseñas y usar claves seguras, además de revisar la actividad de inicio de sesión y cerrar sesiones desconocidas.
La tercera es desconfiar incluso cuando el mensaje venga de una cuenta conocida. Ese es el punto central del nuevo engaño: no siempre habla tu amigo; a veces habla alguien usando su perfil. La confianza debe estar en el canal verificado, no en la foto de perfil.
Qué hacer si ya has introducido tus datos
La rapidez importa. Si aún puedes entrar en la cuenta, cambia la contraseña de inmediato, cierra sesiones abiertas en dispositivos desconocidos, activa la autenticación en dos pasos y revisa el correo y teléfono asociados. También conviene avisar a tus contactos para que no abran enlaces enviados desde tu cuenta.
Si ya no puedes acceder, hay que iniciar el proceso de recuperación desde Instagram. INCIBE explica que la plataforma cuenta con procedimientos para informar si alguien se ha hecho con el control de la cuenta y recuperar el acceso. También recomienda contactar con el 017, la línea gratuita y confidencial de ayuda en ciberseguridad, disponible además por WhatsApp y Telegram.
Instagram, por su parte, indica que si una cuenta ha sido hackeada o tomada por otra persona existen acciones disponibles desde la web o la app para intentar protegerla y recuperarla.
Una estafa vieja con un disfraz nuevo
El fraude no inventa el engaño; lo actualiza. Antes llegaba como correo de un banco, SMS de paquetería o multa falsa. Ahora entra por Instagram, con una cara conocida y una petición aparentemente normal. Esa es la evolución: los ciberdelincuentes no solo imitan marcas, también imitan relaciones.
El vídeo acierta al insistir en una idea incómoda: se puede perder una cuenta “sin hacer nada raro”, solo confiando en el mensaje equivocado. La defensa no consiste en vivir con paranoia, sino en cambiar un hábito. No se inicia sesión desde enlaces recibidos por DM. No se comparten códigos. No se introducen credenciales en páginas abiertas desde mensajes inesperados. Y, ante la duda, se comprueba desde la app oficial.
La seguridad digital no depende únicamente de saber mucho de tecnología. A veces empieza con una pregunta sencilla: “¿Me has mandado tú este enlace?”. Esa pausa puede salvar una cuenta.