Las cuentas que ya no recuerdas, aquellas que creaste por impulso o para acceder a servicios específicos, pueden convertirse en un riesgo significativo para tu seguridad digital. Esta noticia explora la creciente amenaza que representan las cuentas inactivas, cómo los ciberdelincuentes las utilizan y qué puedes hacer para protegerte.
¿Por Qué Son Peligrosas las Cuentas Inactivas?
Existen numerosas razones por las que podrías acumular un gran número de cuentas inactivas. A menudo nos bombardean con ofertas y nuevos servicios digitales, lo que lleva a la creación de múltiples cuentas. Sin embargo, es fácil olvidar estas cuentas con el tiempo, y eso puede ser un error grave.
Google ha revelado que las cuentas inactivas tienen al menos 10 veces menos probabilidades de tener configurada la autenticación de dos factores (2FA). Esto significa que son mucho más vulnerables a los ataques. Las cuentas inactivas pueden ser un imán para los ciberdelincuentes, que se centran cada vez más en la apropiación de cuentas (ATO).
Los ciberdelincuentes utilizan diversas técnicas para acceder a estas cuentas, entre ellas:
* **Malware Infostealer:** Diseñado para robar los datos de acceso. Según un informe, se robaron 3,200 millones de credenciales el año pasado, con la mayoría (75%) a través de infostealers.
* **Filtraciones de datos a gran escala:** Los hackers recopilan bases de datos enteras de contraseñas y nombres de usuario de terceras empresas.
* **Credential stuffing:** Los hackers introducen las credenciales filtradas en software automatizado para intentar desbloquear cuentas donde se ha reutilizado la misma contraseña.
* **Técnicas de fuerza bruta:** Utilizan el método de ensayo y error para adivinar tus contraseñas.
Consecuencias de las Cuentas Inactivas
Las consecuencias de que un atacante acceda a tu cuenta pueden ser devastadoras:
* **Spam y Estafas:** Podrían utilizarla para enviar spam y estafas a tus contactos, o incluso lanzar ataques de phishing convincentes en tu nombre. Estos ataques pueden tratar de obtener información confidencial de tus contactos o engañarlos para que instalen malware.
* **Robo de Información Personal:** Podrían buscar información personal o datos guardados de tarjetas que pueden utilizar para cometer un fraude de identidad o para enviar más correos electrónicos de phishing haciéndose pasar por el proveedor de servicios de la cuenta con el fin de obtener más información. Las tarjetas guardadas pueden haber caducado, pero las que no lo hayan hecho podrían utilizarse para realizar compras en tu nombre.
* **Venta de la Cuenta:** Podrían vender la cuenta en la darkweb, sobre todo si tienen algún valor adicional, como una cuenta de fidelización o de millas aéreas.
* **Vacío de la Cuenta:** En el Reino Unido, se estima que podría haber 82,000 millones de libras esterlinas (109,000 millones de dólares) en cuentas bancarias, de sociedades de construcción, de pensiones y otras cuentas perdidas.
Cuentas Corporativas: Un Riesgo Adicional
Las cuentas inactivas de empresas también son un objetivo atractivo, ya que podrían facilitar el acceso a datos y sistemas corporativos confidenciales. Podrían robar y vender estos datos o pedir un rescate por ellos.
* **Brecha de Ransomware Colonial Pipeline:** La brecha de ransomware de Colonial Pipeline de 2021 comenzó a partir de una cuenta VPN inactiva que fue secuestrada. El incidente provocó una importante escasez de combustible en toda la costa este de Estados Unidos.
* **Ataque de Ransomware Hackney:** Un ataque de ransomware en 2020 al distrito londinense de Hackney se originó en parte por una contraseña insegura en una cuenta inactiva conectada a los servidores del ayuntamiento.
¿Hora de Hacer Limpieza?
Varios proveedores de servicios cierran automáticamente las cuentas inactivas al cabo de cierto tiempo para liberar recursos informáticos, reducir costes y mejorar la seguridad de los clientes.
Sin embargo, cuando se trata de tu seguridad digital, siempre es mejor ser proactivo. Aquí hay algunas recomendaciones:
* **Auditorías Periódicas:** Realiza auditorías periódicas y elimina las cuentas inactivas. Busca en tu bandeja de entrada palabras clave como «Bienvenido», «Verificar cuenta», «Prueba gratuita», «Gracias por registrarte», «Valida tu cuenta».
* **Actualización de Contraseñas:** Busca en tu gestor de contraseñas o en la lista de contraseñas guardadas de tu navegador y elimina las que estén vinculadas a cuentas inactivas, o actualiza la contraseña si se ha detectado que es insegura o se ha visto afectada por una filtración de datos.
* **Políticas de Eliminación:** Comprueba las políticas de eliminación del proveedor de la cuenta para asegurarse de que toda la información personal y financiera se eliminará definitivamente si cierras la cuenta.
* **Contraseñas Fuertes:** Piensa dos veces antes de abrir una cuenta. ¿Realmente merece la pena?
Para aquellas cuentas que conservarás, aparte de actualizar la contraseña a una credencial fuerte y única, y almacenarla en un gestor de contraseñas, considera:
* **Autenticación de Dos Factores (2FA):** Activa la autenticación de dos factores (2FA) para que, aunque una persona consiga tu contraseña, no podrá poner en peligro tu cuenta.
* **Conexiones Seguras:** No conectarte nunca a cuentas sensibles en redes wifi públicas (al menos, sin utilizar una VPN), ya que los ciberdelincuentes podrían espiar tu actividad y robarte los datos de acceso.
* **Conciencia del Phishing:** Ten cuidado con los mensajes de phishing que intentan engañarte para que facilites tus datos de acceso o descargues programas maliciosos (como los infostealers). Nunca hagas clic en enlaces de mensajes no solicitados o que intenten presionarte para que actúes rápido, por ejemplo, alegando que tu cuenta se eliminará si no lo haces.
La mayoría de nosotros tenemos docenas, si no decenas, de cuentas inactivas esparcidas por Internet. Dedicar unos minutos al año a hacer limpieza puede hacer que tu vida digital sea un poco más segura.
