Cuentas olvidadas, igual a dejar las puertas abiertas para los ciberdelincuentes

WeLiveSecurity, empresa experta en ciberseguridad, advirtió que las cuentas que ya ni recuerdas tener, esas que creaste para stalkear a alguien o para acceder a algún sitio pueden convertirse en un riesgo para la seguridad.

La compañía detalló que, tanto desde el punto de vista personal como laboral, estas cuentas abandonadas son un objetivo atractivo para los ciberdelincuentes, por lo que revisarlas es fundamental para mantener tu vida digital bajo control.

¿Por qué son peligrosas las cuentas inactivas?

Hay muchas razones por las que puedes tener un gran número de cuentas olvidadas e inactivas. Lo más probable es que te bombardeen a diario con ofertas especiales y nuevos servicios digitales. A veces, la única forma de comprobarlos es registrarse y crear una cuenta nueva. Pero somos humanos: nos olvidamos, nuestros intereses cambian con el tiempo y a veces no recordamos los inicios de sesión y seguimos adelante. A menudo es más difícil eliminar una cuenta que dejarla inactiva.

Sin embargo, eso puede ser un error. Según Google, las cuentas que llevan mucho tiempo inactivas tienen más probabilidades de verse comprometidas y que se utilicen sus credenciales si fueron filtradas en algunas de las innumerables brechas de información históricas. El gigante tecnológico también afirma que “las cuentas abandonadas tienen al menos 10 veces menos probabilidades que las activas de tener configurada la verificación en dos pasos”.

Estas cuentas podrían ser un imán para los cibercriminales, que cada vez están más centrados en la apropiación de cuentas (ATO). Para ello, utilizan diversas técnicas, entre ellas:

Malware Infostealer, diseñado para robar los datos de acceso. Según un informe, el año pasado se robaron 3,200 millones de credenciales, la mayoría (75%) a través de infostealers.

Filtraciones de datos a gran escala, en las que los hackers recopilan bases de datos enteras de contraseñas y nombres de usuario de terceras empresas a las que usted podría haberse suscrito.

Credential stuffing, en el que los hackers introducen las credenciales filtradas en software automatizado, para intentar desbloquear cuentas en las que se ha reutilizado la misma contraseña.

Técnicas de fuerza bruta, en las que utilizan el método de ensayo y error para adivinar sus contraseñas.

Consecuencias de las cuentas inactivas

Cuentas personales

Si un atacante consigue acceder a tu cuenta, podría:

  • Utilizarla para enviar spam y estafas a tus contactos (por ejemplo, si se trata de una cuenta inactiva de correo electrónico o de redes sociales), o incluso lanzar ataques de phishing convincentes en tu nombre. Estos ataques pueden tratar de obtener información confidencial de tus contactos o engañarlos para que instalen malware.
  • Buscar información personal o datos guardados de tarjetas que pueden utilizar para cometer un fraude de identidad o para enviar más correos electrónicos de phishing haciéndose pasar por el proveedor de servicios de la cuenta con el fin de obtener más información. Las tarjetas guardadas pueden haber caducado, pero las que no lo hayan hecho podrían utilizarse para realizar compras en tu nombre.
  • Vender la cuenta en la darkweb, sobre todo si tienen algún valor adicional, como una cuenta de fidelización o de millas aéreas.
  • Vaciar la cuenta de fondos (por ejemplo, si se trata de una criptowallet o una cuenta bancaria). En el Reino Unido, se estima que podría haber 82,000 millones de libras esterlinas (109,000 millones de dólares) en cuentas bancarias, de sociedades de construcción, de pensiones y otras cuentas perdidas.

Cuentas corporativas

Las cuentas inactivas de empresas también son un objetivo atractivo, ya que podrían facilitar el acceso a datos y sistemas corporativos confidenciales. Podrían robar y vender estos datos o pedir un rescate por ellos. De hecho:

  • La brecha de ransomware de Colonial Pipeline de 2021 comenzó a partir de una cuenta VPN inactiva que fue secuestrada. El incidente provocó una importante escasez de combustible en toda la costa este de Estados Unidos.
  • Un ataque de ransomware en 2020 al distrito londinense de Hackney se originó en parte por una contraseña insegura en una cuenta inactiva conectada a los servidores del ayuntamiento.

¿Hora de hacer limpieza?

¿Qué se puede hacer para mitigar los riesgos mencionados? Algunos proveedores de servicios cierran automáticamente las cuentas inactivas al cabo de cierto tiempo para liberar recursos informáticos, reducir costes y mejorar la seguridad de los clientes. Entre ellos están Google, Microsoft y X.

Sin embargo, cuando se trata de tu seguridad digital, siempre es mejor ser proactivo. Tenga en cuenta lo siguiente:

  • Realiza auditorías periódicas y elimina las cuentas inactivas. Una buena forma de encontrarlas es buscar en la bandeja de entrada de tu correo electrónico palabras clave como «Bienvenido», «Verificar cuenta», «Prueba gratuita», «Gracias por registrarte», «Valida tu cuenta», etc.
  • Busca en tu gestor de contraseñas o en la lista de contraseñas guardadas de tu navegador y elimina las que estén vinculadas a cuentas inactivas, o actualiza la contraseña si se ha detectado que es insegura o se ha visto afectada por una filtración de datos.
  • Comprueba las políticas de eliminación del proveedor de la cuenta para asegurarse de que toda la información personal y financiera se eliminará definitivamente si cierras la cuenta.
  • Piensa dos veces antes de abrir una cuenta. ¿Realmente merece la pena?

Para aquellas cuentas que conservarás, aparte de actualizar la contraseña a una credencial fuerte y única, y almacenarla en un gestor de contraseñas, considera:

  • Activar la autenticación de dos factores (2FA), de modo que aunque una persona consiga tu contraseña, no podrá poner en peligro tu cuenta.
  • No conectarte nunca a cuentas sensibles en redes wifi públicas (al menos, sin utilizar una VPN), ya que los ciberdelincuentes podrían espiar tu actividad y robarte los datos de acceso.
  • Tener cuidado con los mensajes de phishing que intentan engañarte para que facilites tus datos de acceso o descargues programas maliciosos (como los infostealers). Nunca hagas clic en enlaces de mensajes no solicitados y o que intenten presionarte para que actúes rápido, por ejemplo, alegando que debes dinero o que tu cuenta se eliminará si no lo haces.

Lo más probable es que la mayoría de nosotros tengamos docenas, si no decenas, de cuentas inactivas esparcidas por Internet. Dedicar unos minutos al año a hacer limpieza puede hacer que tu vida digital sea un poco más segura.

admin

Related post

Agridulce despedida de Daniel Suárez en Nascar México

Agridulce despedida de Daniel Suárez en Nascar México

Un guerrero en la pista: el arte de Juan Manuel Latapí corre con NASCAR

Un guerrero en la pista: el arte de Juan Manuel Latapí corre con NASCAR

Pesquisa Ángel Humberto Hernández Silva de 13 años de edad

Pesquisa Ángel Humberto Hernández Silva de 13 años de edad

Tormenta Dalila, lluvia y calor: así estará el clima del 16 al 19 de junio

Tormenta Dalila, lluvia y calor: así estará el clima del 16 al 19 de junio

Israel insta a iraníes a evacuar zonas aledañas a instalaciones armamentísticas

Israel insta a iraníes a evacuar zonas aledañas a instalaciones armamentísticas

Feministas protestan en el INE por candidatos "violentadores"

Feministas protestan en el INE por candidatos "violentadores"