Hackers están utilizando un mecanismo silencioso para poder robar tus contraseñas y dinero

Durante años acumulamos cuentas en redes sociales, foros, apps, tiendas online y servicios que usamos por muy poco tiempo. El problema es que esas cuentas que dejamos olvidadas pueden convertirse en una mina de oro para los ciberdelincuentes. Así lo advierte ESET, compañía especializada en seguridad informática, al alertar sobre el creciente número de cuentas inactivas que quedan vulnerables a ciberataques.

Según el laboratorio de investigación de ESET en Latinoamérica, una persona promedio puede tener hasta 168 contraseñas de cuentas personales, muchas de las cuales ni siquiera recuerda haber creado. Desde registros para pruebas gratuitas hasta aplicaciones que se usan solo en vacaciones, todas esas cuentas quedan abiertas y desprotegidas.

Camilo Gutiérrez Amaya, jefe del laboratorio de ESET, explica que aunque borrar una cuenta puede ser engorroso, dejarla activa y olvidada puede abrir la puerta a ataques que expongan datos personales y financieros. Muchas veces dejamos cuentas con acceso a información sensible, direcciones, tarjetas guardadas o incluso correos corporativos. Si caen en manos equivocadas, el impacto puede ir mucho más allá de una simple molestia.

Y lo más preocupante es que las cuentas abandonadas rara vez cuentan con protección adicional como la autenticación en dos pasos, lo que las convierte en un blanco aún más fácil. Según datos de Google, estas cuentas tienen al menos 10 veces menos probabilidades de tener activada esa medida de seguridad, por lo que los atacantes pueden acceder con credenciales robadas sin mayor obstáculo.

El método de ataque más común: apropiación de cuentas

Una de las estrategias más populares entre los hackers es el “Account Takeover” (ATO), o apropiación de cuentas. Este método se ha vuelto cada vez más efectivo gracias a herramientas automatizadas y técnicas de ingeniería social cada vez más sofisticadas.

Para lograr el acceso, los cibercriminales utilizan diferentes métodos:

• Infostealers, malware diseñado específicamente para capturar nombres de usuario y contraseñas directamente del dispositivo.
  
• Filtraciones masivas de datos, que se venden o comparten en foros clandestinos con millones de combinaciones de correos electrónicos y contraseñas.
  
• Credential stuffing, una técnica que prueba automáticamente combinaciones robadas en diferentes plataformas hasta dar con una que funcione.
  
• Ataques de fuerza bruta, que prueban miles de contraseñas hasta encontrar la correcta.
  

ESET señala que en 2023 se robaron más de 3,200 millones de credenciales, y que el 75% de estos datos fueron obtenidos usando infostealers. Esto indica que la mayoría de los accesos no se logran por descuidos individuales, sino por infecciones silenciosas que recopilan información mientras el usuario navega o revisa sus correos.

Una vez dentro, los atacantes pueden usar esas cuentas para enviar correos de phishing, estafar a contactos, realizar compras con tarjetas guardadas o incluso vender la cuenta en la dark web. Algunas de estas cuentas pueden tener valor adicional si están vinculadas a servicios con programas de puntos, millas aéreas o criptomonedas.

Las empresas también están en la mira de los atacantes

El problema no se limita a usuarios individuales. Las cuentas inactivas corporativas representan un riesgo aún mayor, ya que pueden ser una puerta de entrada a sistemas empresariales críticos. Un caso conocido fue el ataque de ransomware que afectó a Colonial Pipeline en 2021, el cual provocó escasez de combustible en Estados Unidos. Todo comenzó por una cuenta VPN inactiva y sin autenticación multifactor.

Otro ejemplo se dio en el distrito londinense de Hackney en 2020, donde un ciberataque dejó paralizada la administración local por semanas. El acceso se logró a través de una cuenta inactiva con contraseña débil, que aún tenía conexión a los servidores institucionales.

Esto demuestra que no basta con dejar de usar una cuenta para que deje de ser una amenaza. Si está activa, aunque no se utilice, sigue siendo vulnerable.

¿Qué puedes hacer para protegerte?

Aunque algunas empresas como Google, Microsoft y X (antes Twitter) han comenzado a eliminar cuentas inactivas automáticamente tras cierto tiempo, la mejor estrategia sigue siendo tomar el control de tus cuentas de forma activa.

Desde ESET recomiendan una serie de pasos para mejorar tu seguridad digital:

• Audita tus cuentas: busca en tu correo electrónico términos como “Bienvenido”, “Activa tu cuenta”, “Gracias por registrarte” o “Prueba gratuita”. Esto te puede ayudar a identificar servicios que ya no usas.
  
• Consulta tu gestor de contraseñas o revisa las contraseñas guardadas en tu navegador. Si ves entradas vinculadas a cuentas que no recuerdas haber usado recientemente, revísalas y decide si vale la pena conservarlas.
  
• Elimina las cuentas que ya no necesitas, y asegúrate de que el proveedor borre también tu información personal.
  
• Activa la verificación en dos pasos (2FA) para todas las cuentas que aún conservas. Esto añade una capa extra de seguridad incluso si tu contraseña es comprometida.
  
• Nunca accedas a cuentas sensibles desde redes wifi públicas sin usar una VPN.
  
• Ignora correos sospechosos que te presionen para actuar rápido. Los mensajes de este tipo suelen ser intentos de phishing para robar credenciales o instalar malware.
  

Como bien resume Gutiérrez Amaya: “Lo más probable es que la mayoría de nosotros tengamos docenas de cuentas inactivas esparcidas por Internet. Dedicar unos minutos al año a hacer limpieza puede hacer que tu vida digital sea un poco más segura”.

Sigue leyendo:
• Hackers ganaban millones vendiendo tu WiFi sin que lo supieras: así los atraparon
• ¡Cuidado con lo que buscas en Google! Estas 6 palabras pueden ponerte en la mira de los hackers
• Corea del Norte creó una división especial de hackers que utiliza IA para realizar ataques