El gran temor de muchos anunciantes es que hackeen su cuenta publicitaria de Facebook Ads o Instagram Ads. En el artículo anterior expliqué mi experiencia negativa cuando hackearon mi perfil personal y utilizaron mis cuentas publicitarias. En el presente artículo me centraré en explicar el plan de acción a seguir para contrarrestar hackeos de cuentas publicitarias en Facebook Ads o Instagram Ads.

Tiempo

El primer factor que debemos tener en cuenta es el tiempo, ya que entre más tiempo pase, es posible que el hacker realice más gastos en nuestra cuenta publicitaria, por lo cual es fundamental que apenas notemos algún síntoma, tomemos acción inmediata, no dejando alguna acción para «el día siguiente», ya que eso puede significar más gastos y problemas en nuestra cuenta publicitaria.

Revisar anuncios en curso

Lo primero que debemos hacer en estos casos, es dirigirnos a nuestro administrador de anuncios, el cual se encuentra en facebook.com/ads/manager y ver qué anuncios están activos o en circulación. En el caso de que identifiquemos alguna campaña o anuncio que no hayamos presentado, lo que debemos hacer es eliminar dicho anuncio, es importante que antes de eliminar dicho anuncio nos fijemos en el nombre de la campaña y del anuncio (de ser posible sacar unan captura de pantalla), ya que esto nos será útil al momento de presentar un reclamo a Meta (procedimiento descrito al final de este artículo).

En lo personal no recomiendo «desactivar» un anuncio, ya que dicho anuncio puede volver a activarse mediante el uso de «reglas» en la cuenta publicitaria, es por este motivo que lo mejor en estos casos, es eliminar el anuncio.

Es importante destacar que los hackers tienden a usar nombres de anuncios similares a anteriores campañas, por lo cual, no es de extrañarnos que el anuncio creado (sin nuestra autorización) tenga precisamente el mismo nombre que otra campaña anterior, en este caso, podemos fijarnos en otros factores como el presupuesto, monto gastado, objetivo del anuncio, lugar de destino o página relacionada (estos dos últimos puntos están visibles en el tercer nivel de nuestra cuenta publicitaria).

Revisar pagos o cobros realizados

El siguiente punto es revisar si se han realizado cobros en nuestra cuenta publicitaria, por ejemplo, es común que los hackers gasten un gran cantidad de presupuesto en un corto periodo de tiempo, ya que precisamente estas personas no autorizadas saben que tienen poco tiempo disponible para actuar, por lo cual tratarán de presentar el anuncio con el mayor presupuesto posible en un corto periodo de tiempo (ejemplo miles de dólares en días u horas).

Revisar administradores

A continuación debemos revisar los administradores de la cuenta publicitaria, si vemos una persona desconocida o no autorizada, entonces debemos eliminarla como administrador. Si vemos que falta algún administrador de confianza, esto puede deberse a que el perfil personal de dicho administrador fue hackeado y que la plataforma suspendió/eliminó su cuenta personal por motivos de seguridad (por eso e que ya no está visible).

En el caso de que no veamos a nadie «nuevo» o «no autorizado» y que todos nuestros administradores de confianza estén completos, entonces esto quiere decir que el perfil personal hackeado fue el nuestro. En lo personal recomiendo eliminar a todos los administradores de confianza, ya que es difícil saber (en ese momento) cuál perfil fue hackeado, sobre todo si estamos seguros de que nuestro perfil personal no fue hackeado.

Es importante destacar que la revisión de administradores no solo debe limitarse a la cuenta publicitaria, sino que también se debe revisar a los administradores del business manager, ya que existen casos en que las cuentas publicitarias con controladas o administradas desde un business manager.

Revisar niveles de permisos

El siguiente punto es revisar los niveles de permisos, por ejemplo, es posible que antes teníamos el nivel de «administrador general», pero ahora solo tenemos el nivel de «anunciante o editor» (que son niveles inferiores), lamentablemente algunos hackers modifican los permisos y disminuyen el nivel de permisos de otros administradores, debido a esto, es importante verificar que dichos niveles no hayan sido modificados.

Revisar las reglas activas

Otro punto a tener en cuenta es la revisión de las reglas de la plataforma publicitaria. Las reglas sirven para automatizar ciertas acciones en nuestra cuenta publicitaria, por ejemplo, podemos crear una regla para activar un anuncio cuando el costo por acción alcance determinado valor, también podemos crear una regla para aumentar el presupuesto de un anuncio si se dan ciertas condiciones, etc.

El problema es que estas reglas también son utilizadas por los hackers para «controlar» los anuncios luego de que estos hayan sido eliminados como administradores o luego de que un anuncio se haya desactivado. Para evitar esto, debemos ir a la sección de «reglas» o «reglas activas» de nuestra cuenta publicitaria y eliminar todas las reglas creadas. Debido a esto, se recomienda siempre «eliminar» anuncios o campañas no deseadas, ya que si solo se desactivan, pueden volverse a activar mediante dichas reglas.

Verificar píxeles de conversión

Luego debemos ir a la parte de píxeles de conversión y eliminar todos los pixeles nuevos o que no hayamos creado. Generalmente la mayoría de hackers utilizan anuncios con objetivo «conversiones» o «compras en un sitio web», los cuales requieren de la instalación de un pixel de conversión.

Revisar email del perfil personal

Si el hackeo fue por nuestro perfil personal, es importante revisar el email asociado a dicha cuenta, ya que generalmente los hackers acceden a los perfiles personales solicitando códigos de seguridad a un email que ha sido vulnerado. Un error común es asociar un perfil personal con un email de dominio (ejemplo correo@misitioweb.com) que es operado en un sistema Webmail en nuestro propio servidor. El problema es que este tipo de correos son más fáciles de vulnerar.

En este caso, se recomienda usar correos como Gmail, los cuales son más difíciles de vulnerar, ya que poseen más medidas de seguridad como la detección del cambio de ubicación del usuario cuando se conecta, mensajes de confirmación en el dispositivo móvil o procesos de verificación de 2 pasos.

Cambiar contraseña del perfil personal y cerrar sesiones

Para aumentar el nivel de seguridad de nuestro perfil personal, se recomienda cambiar nuestra contraseña y cerrar las sesiones abiertas en otros equipos o dispositivos.

Pasos a seguir para contrarrestar hackeo de cuentas en Facebook Ads o Instagram Ads

Activar verificación en dos pasos

Luego de cambiar la contraseña y cerrar las sesiones abiertas, se recomienda activar el proceso de verificación de 2 pasos, en lo personal recomiendo usar la opción de programas de autenticación (como Google Authenticator), en donde se crean claves dinámicas que llegan a nuestro dispositivo, las cuales caducan a los 20 segundos, ya que el nivel de seguridad es más elevado.

Escanear nuestro equipo con antivirus

El siguiente paso recomendable es escanear nuestro equipo o dispositivo con un antivirus original (no usar antivirus pirata porque son deficientes o su efecto es muy limitado). Dicho antivirus debe tener todas sus funciones activas, por ejemplo, debe tener el firewall activado, amaláis en tiempo real, etc. Si bien muchas de estas herramientas consumen recursos de nuestro equipo o dispositivo, al final valen la pena, ya que aumentan nuestro nivel de seguridad. Es importante destacar que algunos virus son difíciles de detectar, por lo cual tenemos que hacer varios análisis «completos» (que toman más tiempo) para poder detectarlos.

Colocar límites en la cuenta publicitaria

Se recomienda colocar límites en nuestra cuenta publicitaria, por ejemplo, podemos disminuir el límite de cobro y el límite de gasto total de nuestra cuenta publicitaria, de esta manera disminuiremos el efeto negativo al restringir el nivel de gastos no autorizados en nuestra cuenta publicitaria. No existe nada más peligroso que una cuenta publicitaria sin ningún tipo de límites o restricciones respecto a gastos.

Controlar la fuente de pago

Otro factor a tomar en cuenta es la fuente de pago, por ejemplo, si usamos una tarjeta de crédito debemos establecer un límite de uso (en lo personal recomiendo solo usar tarjetas de débito con el saldo a gastar correspondiente). En el caso del hackeo de nuestra cuenta publicitaria, la acción más efectiva es solicitar a nuestro banco la desactivación o anulación de nuestra tarjeta de crédito/débito, ya que este efecto es inmediato, ya que causará que todas las campañas se paralicen por falta de pago, lo cual es muy útil en este tipo de casos.

Informar a las personas afectadas

Es importante informar a todas las personas afectadas, por ejemplo, podemos informar a los demás administradores y pedirles que activen el proceso de verificación de dos pasos en sus perfiles personales. Así mismo, si tenemos clientes a los cuales les gestionamos sus anuncios mediante su cuenta publicitaria, debemos informarles que nuestro perfil personal ha sido comprometido y solicitar que nos eliminen como administrador (si es el caso), además de realizar los pasos recomendados en este artículo.

Informar a Meta sobre lo sucedido y reclamar un reembolso (si es el caso)

Luego de seguir los pasos anteriores, se recomienda informar a Meta sobre lo sucedido, mencionando todos los detalles del caso y adjuntando las pruebas correspondientes. Se puede hacer el reclamo por cargos no autorizados en el siguiente enlace. Por ejemplo, en una parte de nuestro mensaje podemos colocar algo como:

El día 13 de Enero a las 5:30 am hackearon el perfil personal de uno de los administradores de mi cuenta publicitaria (su nombre era xxxxx y su email asociado a su cuenta era contacto@misitiweb.com). El hacker comenzó a presentar anuncios no autorizados en mi cuenta publicitaria (para una página llamada xxxxx con destino al dominio xxx). Los nombres de las campañas y anuncios no autorizados son: xxxxxx. El objetivo de esa campaña no autorizada fue conseguir compras en un sitio web.

El anuncio estuvo mostrándose entre el 13 y 14 de Enero. En dicha campaña me fue cobrado un monto de xxx dólares, como figura en el recibo o comprobante número FBADS-162-13024444. Adjunto el PDF con el recibo/factura de Facebook Ads y adjunto la imagen en donde se puede visualizar el anuncio no autorizado.

Lo que sucederá en estos casos, es que Facebook o Meta responderá solicitando más información, generalmente solicitará los códigos o números que aparecen el estado de cuenta en la fuente de pago, por ejemplo, algunos códigos tienen la siguiente denominación «FACEBK 9EXJYRTX4».

Luego de enviada esta información, si el pedido está bien sustentado, entonces Facebook o Meta aceptará el reclamo y procederá a hacer un reembolso, el cual generalmente se hace mediante crédito publicitario para ser usado en nuevos anuncios en la propia cuenta publicitaria.

Motivos por los cuales un reclamo o solicitud de reembolso puede ser rechazado

Existen muchos motivos por los cuales un reclamo o solicitud de reembolso (por gastos realizados por un hackeo) puede ser rechazado. En base a mi experiencia personal y asesorando a algunos clientes sobre este tema, los principales motivos por los cuales una solicitud puede ser rechazada, se encuentran los siguientes:

  • No se adjuntaron los documentos que prueban o sustentan dicho reclamo.
  • Antecedentes del anunciante de presentar reclamos de reembolsos no válidos.
  • Mal historial del anunciante respecto a cumplimiento de normas.
  • No se puede comprobar la identidad del anunciante.
  • Los anuncios «no reconocidos» tienen como objetivo promover el negocio del propio anunciante.
  • Existen incongruencias o contradicciones entre lo que dice el reclamo del anunciante y lo que en realidad sucedió en la cuenta publicitaria.
  • Utilización de lenguaje intimidatorio o amenazante para hacer el reclamo.

Es importante destacar que todos los reclamos o solicitudes son evaluados por el propio personal de Facebook o Meta, por lo cual ellos tienen la decisión final.

Video

En el siguiente video menciono alguno de los puntos mencionados:

¿Qué opinas sobre este tema? ¿Haz pasado por experiencias similares en Facebook Ads o Instagram Ads?

Si tienes alguna duda o consulta sobre este tema, puedes contactarte conmigo de forma privada visitando el siguiente enlace.

Imagen de Pete Linforth vía Pixabay.comm bajo licencia creative commons.

Jose Luis Moreno
Jose Luis Moreno

Consultor en Publicidad Pagada Online y Optimización en Motores de Búsqueda (SEO)

    2 replies to "Pasos a seguir para contrarrestar hackeo de cuentas en Facebook Ads o Instagram Ads"

    • Jose Luis Moreno
      27 noviembre, 2023

      Hola Juliana, no entiendo bien tu pregunta, si por favor puedes formularla mejor para poder responderte, saludos.

    • Juliana ch
      25 noviembre, 2023

      Se quiere hacer pasar por mi

Leave a Reply

Your email address will not be published.