Publicado: agosto 4, 2025, 8:15 am
Una nueva estafa de phishing está circulando por Instagram. Dicho fraude, descubierto por el blog de seguridad Malwarebytes Labs, es una campaña de correos electrónicos maliciosos que se hacen pasar por la red social para robar las cuentas de los usuarios, además, el cuerpo del mensaje es muy similar al que Instagram envía si quiere que el individuo confirme su identidad.
Sin embargo, a diferencia de las tradicionales estafas de phishing que incluyen enlaces falsos para dirigir a las víctimas a webs maliciosas, este fraude asegura que alguien intenta iniciar sesión en la cuenta de Instagram con un código de verificación. Por lo tanto, en este caso, en lugar de dirigir a una página web falsa, los enlaces que incluyen las frases «Reportar a este usuario» o «Eliminar su dirección de correo electrónico» son, en realidad, enlaces ‘mailto’.
Esto significa que, al hacer clic, se abre de forma automática una plataforma de correo electrónico predeterminado con un mensaje predefinido, cuyo asunto es «Reportar a este usuario para proteger su cuenta» o «Eliminar su dirección de correo electrónico de esta cuenta». Además, las direcciones de correo electrónico asociadas a estos enlaces tienen dominios aparentemente inofensivos, aunque en verdad están diseñados para simular dominios legítimos —una técnica llamada typosquatting—.
Qué son los enlaces mailto
En la gran mayoría de las estafas de phishing, los ciberdelincuentes incluyen enlaces que dirigen a páginas web falsas para robar datos, pero, gracias a los filtros de verificación que incluyen los servicios de correo electrónico —como Gmail—, las direcciones maliciosas son detectadas y bloqueadas.
Ante este problema que perjudica a los estafadores, los ciberdelincuentes han empezado a usar enlaces mailto que, en lugar de abrir una página web, activan un servicio de correo electrónico con un mensaje ya preparado para que lo envíen los usuarios. Además, gracias a este método, los malos pueden esquivar la detección automática, ya que no necesitan crear páginas falsas para robar información.
Por otro lado, al recibir un correo de respuesta por parte de los individuos, los estafadores confirman que la dirección de la víctima está activa, por lo que pueden solicitar más información a través de formularios para robar datos o, en este caso, cuentas de Instagram.
Cómo evitar las estafas de phishing en Instagram
Los usuarios tienen que revisar el origen del correo electrónico, porque, en la gran mayoría de los casos, los dominios se hacen pasar por legítimos. También, es importante recordar que Meta no solicita a los internautas que envíen detalles de sus cuentas, contraseñas u otra información confidencial a través de correo electrónico.
Por otro lado, desde Malwarebytes Labs advierten que es esencial «hacer una pausa» antes de responder a un correo electrónico, añadiendo que no se debe responder si la advertencia parece sospechosa, debido a que enviar un correo electrónico indicará a los estafadores que la dirección está activa, por lo que será «un blanco aún mayor».
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
