Cuidado con las cuentas abandonadas: un riesgo para tu seguridad online

Ana Blanco Vigo -

En la era digital, acumulamos una gran cantidad de cuentas online. Pruebas gratuitas que nunca cancelamos, apps que usamos una vez de vacaciones… Esta dispersión de cuentas es un problema real. De hecho, se estima que una persona tiene de media 168 contraseñas para sus cuentas personales.

Pero las cuentas inactivas también representan un riesgo de seguridad, tanto personal como laboral. Son un objetivo atractivo para los ciberdelincuentes. Por eso, es importante realizar una limpieza digital de vez en cuando para mantenerlas bajo control.

¿Por qué son peligrosas las cuentas abandonadas?

Existen varias razones por las que acumulamos cuentas olvidadas e inactivas:

  • Nos bombardean con ofertas y nuevos servicios digitales a diario.
  • A veces, la única forma de probarlos es registrarse y crear una cuenta.
  • Simplemente, olvidamos las cuentas o perdemos el interés.
  • A menudo, es más difícil eliminar una cuenta que dejarla inactiva.

Sin embargo, esto puede ser un error. Según Google, las cuentas inactivas durante mucho tiempo tienen más probabilidades de verse comprometidas. Esto se debe a que es más probable que utilicen credenciales antiguas o reutilizadas que hayan aparecido en alguna filtración de datos. Además, Google afirma que las cuentas abandonadas tienen diez veces menos probabilidades de tener activada la verificación en dos pasos.

¿Cómo atacan las cuentas inactivas?

Estas cuentas pueden ser un imán para los hackers, que se centran cada vez más en la apropiación de cuentas (ATO). Lo hacen a través de diversas técnicas:

  • Malware de robo de información (infostealers): diseñados para recopilar tus credenciales.
  • Filtraciones de datos a gran escala: los hackers recopilan bases de datos enteras de contraseñas y nombres de usuario de empresas en las que te has registrado.
  • Credential stuffing: los hackers introducen credenciales filtradas en software automatizado para intentar desbloquear cuentas en las que hayas reutilizado la misma contraseña comprometida.
  • Técnicas de fuerza bruta: utilizan el ensayo y error para adivinar tus contraseñas.

Las consecuencias de una cuenta inactiva comprometida

Si un atacante accede a tu cuenta, podría:

  • Usarla para enviar spam y estafas a tus contactos (por ejemplo, si es una cuenta de correo electrónico o de redes sociales inactiva), o incluso lanzar ataques de phishing convincentes en tu nombre.
  • Buscar información personal o datos de tarjetas guardados en tu cuenta inactiva.
  • Vender la cuenta en la dark web, si tiene algún valor (por ejemplo, una cuenta de fidelización o de millas aéreas que hayas olvidado).
  • Vaciar la cuenta de fondos (por ejemplo, si es un monedero de criptomonedas o una cuenta bancaria olvidada).

Las cuentas de empresa inactivas también son un objetivo atractivo, ya que podrían dar a los ciberdelincuentes una vía fácil para acceder a datos y sistemas corporativos confidenciales.

  • El ataque de ransomware a Colonial Pipeline en 2021 comenzó con una cuenta VPN inactiva que fue secuestrada.
  • Un ataque de ransomware de 2020 al municipio londinense de Hackney se debió, en parte, a una contraseña insegura en una cuenta inactiva conectada a los servidores del ayuntamiento.

¡Es hora de hacer limpieza!

Algunos proveedores de servicios cierran automáticamente las cuentas inactivas después de un cierto tiempo. Sin embargo, lo mejor es ser proactivo y tomar las riendas de tu seguridad digital:

  • Audita y elimina periódicamente las cuentas inactivas. Busca en tu bandeja de entrada palabras clave como Bienvenido, Verificar cuenta, Prueba gratuita, Gracias por registrarte, Valida tu cuenta, etc.
  • Revisa tu gestor de contraseñas y elimina las contraseñas vinculadas a cuentas inactivas, o actualízalas si han sido marcadas como inseguras o han aparecido en alguna filtración de datos.
  • Consulta las políticas de eliminación del proveedor de la cuenta para asegurarte de que toda la información personal y financiera se eliminará por completo si cierras la cuenta.
  • Piénsatelo dos veces antes de registrarte en nuevos servicios. ¿Realmente vale la pena crear una nueva cuenta?

Para las cuentas que quieras conservar:

  • Activa la autenticación de dos factores (2FA).
  • No inicies sesión en cuentas confidenciales en redes Wi-Fi públicas (sin usar una VPN).
  • Ten cuidado con los mensajes de phishing que intentan engañarte para que reveles tus credenciales o descargues malware.

Es probable que la mayoría de nosotros tengamos docenas, si no cientos, de cuentas inactivas repartidas por Internet. Dedica unos minutos al año a limpiarlas y harás tu vida digital un poco más segura.