El equipo de investigación de vpnMentor, dirigido por Noam Rotem y Ran Locar, ha anunciado el descubrimiento de una granja de clics que operaba a nivel mundial con alrededor de 10.000 perfiles falsos de Instagram desde algún país de Asia Central, como Kazajistán o Armenia.
La investigación de vpnMentor revela que esta operación fraudulenta y «sofisticada» ha desarrollado un «proceso altamente automatizado para crear 10.000 cuentas proxy falsas en Instagram». Los expertos en ciberseguridad explican que cada uno de estos perfiles contaba con su propio avatar y biografía, además de interactuar con otras cuentas.
Y es que de eso se trata una granja de clics, de interacciones no reales con cuentas que quieren ganar seguidores o «me gusta» o de clics en anuncios o enlaces de publicaciones patrocinadas. Suelen situarse en países en desarrollo con poca o ninguna reglamentación o supervisión en este sentido y pueden estar gestionadas por individuos contratados para estas tareas o bien estar automatizadas y no necesitar el factor humano.
Este último es el caso de la estafa de Instagram descubierta por vpnMentor, quienes sospechan que la granja de clics no solo estaba utilizando servidores proxy, sino también direcciones IP para ocultar su actividad y no levantar sospechas si de la nada aparecían 10.000 cuentas nuevas de Instagram desde un mismo lugar concreto y acotado del planeta.
De esta manera, para evitar ser catalogadas como spam, cada una de las cuentas falsas creadas se emparejó con una dirección IP en un determinado país, coincidente con las características que luego aparecían en la biografía de la «persona» en cuestión.
La granja de clics operaba con multitud de tarjetas SIM para poder verificar las cuentas falsas
Además de la IP y el nombre de usuario y contraseña, también hay que tener en cuenta que para poder crearse y operar con normalidad las cuentas de Instagram necesitan una dirección de correo electrónico asociada, así como un número de teléfono que permita verificar la cuenta, es decir, una tarjeta SIM única para cada perfil.
Tal y como explican los investigadores de vpnMentor, «al almacenar todos estos datos en un solo servidor, las operaciones de la granja de clics estaban completamente centralizadas y controladas por una sola entidad«. Los expertos en ciberseguridad tienen sospechas acerca de la situación geográfica de la granja de clics que apuntan a Asia Central, debido a que muchas de las direcciones IP utilizadas proceden de Kazajistán y Armenia, así como los operadores de telefonía móvil usados para la recepción de los códigos de verificación de cuenta a través de SMS.
Esta campaña, concretamente, estaba principalmente dedicada a alterar las estadísticas publicitarias, gracias a la posibilidad de que las cuentas falsas hiciesen clic en anuncios pagados, vulnerando las normas de uso de Instagram, que prohíbe el tráfico no orgánico.
vpnMentor dio el aviso a Facebook y este clausuró el servidor fraudulento
La base de datos fraudulenta fue descubierta el 21 de septiembre de este año, como parte de un proyecto de mapeo web. El equipo se dedica en este tipo de operaciones a escanear puertos para examinar bloques de IP particulares y probar diferentes sistemas en busca de debilidades o vulnerabilidades con el fin de descubrir datos filtrados.
Así fue como vpnMentor detectó la brecha en esta granja de clics, ya que se encontraba sin cifrar. Se trataba de una base de datos Elasticsearch no segura para almacenar datos y, tal y como informan desde vpnMentor, no diseñada para el uso de URL, pero a la que accedieron a través del navegador manipulando los criterios de búsqueda.
El mismo día del hallazgo, vpnMentor se puso en contacto con Facebook, empresa propietaria de Instagram, para dar el aviso y al día siguiente el servidor de dicha base de datos ya había sido cerrado.
Imagen de Wokandapix en Pixabay.