Una oleada de correos falsos que suplantan a Instagram está intentando quedarse con cuentas de usuarios. La campaña, identificada por el laboratorio de seguridad Malwarebytes Labs, replica con mucha precisión el estilo de los mensajes oficiales de la red social para que el destinatario dé por bueno el aviso.
La trampa introduce un giro poco habitual: en lugar de llevar a páginas fraudulentas, el correo afirma que alguien ha intentado acceder a tu cuenta usando un código de verificación y ofrece supuestas opciones como «Reportar a este usuario» o «Eliminar su dirección de correo electrónico». Esos botones, en realidad, abren enlaces mailto preparados para que contestes por correo.
Cómo funciona el engaño
Al pulsar los botones, se abre tu cliente de correo con un asunto y texto ya redactados (por ejemplo, «Reportar a este usuario para proteger su cuenta» o «Eliminar su dirección de correo electrónico de esta cuenta»). AsÃ, los atacantes impulsan a las vÃctimas a enviarles un mensaje de vuelta sin abandonar el correo.
Para dar más confianza, los enlaces apuntan a direcciones con dominios que parecen inofensivos. En realidad, se trata de una táctica de typosquatting: nombres creados para recordar de lejos a dominios legÃtimos y pasar desapercibidos a primera vista.
Este enfoque tiene una ventaja para los delincuentes: evita muchos filtros automáticos que bloquean enlaces a sitios maliciosos. Al no haber una URL fraudulenta inmediata, es más probable que el mensaje llegue a la bandeja de entrada sin alertas.
Una vez reciben tu respuesta, los estafadores confirman que tu dirección de correo está activa y pueden iniciar un intercambio para pedirte más datos mediante formularios o instrucciones adicionales. El objetivo final es claro: apropiarse de tu cuenta de Instagram.
Qué son los enlaces mailto
Los enlaces mailto son atajos que, en lugar de llevarte a una web, abren la aplicación de correo establecida en tu dispositivo con el destinatario, el asunto y, a veces, un cuerpo de mensaje ya completado.
En la mayorÃa de estafas de phishing se incluyen links a páginas falsas para capturar credenciales. Sin embargo, como muchos proveedores —como Gmail— bloquean o avisan de URLs sospechosas, los atacantes están explotando mailto para saltarse ese control y mantener la conversación por email.
Además, al obtener una contestación, los delincuentes verifican que el buzón existe y está activo, lo que les anima a perseguir la estafa con nuevas peticiones de información hasta lograr acceso a la cuenta.
Cómo evitar caer en el phishing de Instagram
Antes de hacer nada, verifica el remitente y el dominio del correo. En la mayorÃa de estos fraudes se usan direcciones que imitan a las reales, pero con pequeños cambios que delatan la suplantación.
Recuerda que Meta no te pedirá por correo tu contraseña, códigos de verificación ni otros datos sensibles. Cualquier mensaje que solicite esa información debe considerarse altamente sospechoso.
Si el aviso te genera dudas, haz una pausa y no respondas. Contestar confirma a los ciberdelincuentes que la dirección está activa y te puede convertir en un objetivo prioritario para nuevos intentos.
Ante un correo sospechoso, lo más prudente es no pulsar en botones ni enlaces y acceder por tu cuenta a la app de Instagram para revisar notificaciones o el apartado oficial de comunicaciones de seguridad.
En caso de haber respondido o compartido datos, actúa rápido: cambia tu contraseña de Instagram y revisa accesos recientes. Cuanto antes interrumpas el posible acceso, más fácil será evitar el secuestro de la cuenta.
Este tipo de estafas recurre a correos muy verosÃmiles, botones que disparan respuestas automáticas mediante mailto y dominios que parecen legÃtimos gracias al typosquatting. La mejor defensa continúa siendo desconfiar de las prisas, revisar el remitente y no contestar ante la menor duda.
