Guías y Tutoriales de Internet

Un estudio de ESET revela que el usuario promedio maneja alrededor de 168 contraseñas para diversas cuentas personales, y que las cuentas inactivas son un riesgo significativo para la seguridad digital. Estas cuentas olvidadas son atractivas para los ciberdelincuentes porque suelen tener menos medidas de protección, como la verificación en dos pasos.

Además, es común que utilicen contraseñas antiguas o repetidas, muchas ya filtradas en anteriores incidentes de seguridad.

ESET advierte que en 2023 se sustrajeron 3.200 millones de credenciales, señalando que el 75 % de estos incidentes involucró malware del tipo Infostealer, diseñado para obtener datos de acceso de los dispositivos afectados. Los riesgos se incrementan, ya que muchas personas olvidan estos perfiles y, en consecuencia, no actualizan ni refuerzan sus medidas de seguridad.

Cómo es el robo de cuentas inactivas

Malware Infostealer: programas maliciosos que roban datos de acceso directamente de los dispositivos.

Filtraciones masivas de datos: bases de datos complejas con millones de credenciales circulan en la dark web.

Credential stuffing: uso automatizado de contraseñas recicladas para intentar acceder a múltiples cuentas.

Ataques de fuerza bruta: intentos reiterados de adivinar contraseñas usando software especializado.

De acuerdo con Google, las cuentas inactivas tienden a no recibir las actualizaciones de seguridad regulares. Por ende, la posibilidad de ser víctima de una intrusión se incrementa debido a la falta de actividad y a la ausencia de mantenimiento preventivo.

Consecuencias del robo de cuentas inactivas

El riesgo de conservar cuentas inactivas en funcionamiento no únicamente se basa en la posible pérdida de información personal, sino también en la habilidad de los cibercriminales para explotarlas de diversas formas:

Envío de mensajes no deseados y campañas de suplantación de identidad: los delincuentes pueden enviar mensajes dañinos a los contactos de la víctima haciéndose pasar por comunicaciones auténticas. Su intención es obtener información sensible o difundir software malicioso.

El fraude de identidad y financiero: ocurre cuando los delincuentes obtienen acceso a información personal, como direcciones o datos bancarios, lo que les permite realizar compras o crear nuevos perfiles a nombre del propietario.

Acceso y extracción de fondos: si la cuenta está conectada a servicios financieros o billeteras digitales, los atacantes podrían llevar a cabo transferencias u operaciones sin el debido permiso.

Riesgos para las empresas: los perfiles corporativos sin actividad pueden transformarse en acceso no autorizado para sustraer información confidencial o esparcir ransomware, amenazando la seguridad de toda la organización.

Cómo realizar una limpieza digital efectiva y segura

El aumento en la conciencia sobre los riesgos ha llevado a algunos proveedores, como Google, Microsoft y X, a implementar políticas de eliminación automática de perfiles que han estado inactivos durante un tiempo determinado. Por ejemplo, a partir de diciembre de 2023, Google comenzó a eliminar cuentas personales que no hayan tenido actividad durante más de dos años.

Entre las medidas sugeridas para evitar incidentes de seguridad están:

Realizar una revisión anual de las cuentas: auditar las cuentas en uso al menos una vez al año y suprimir las que ya no sean útiles.

Búsqueda eficiente de perfiles antiguos: en la bandeja de entrada del correo electrónico, buscar términos como Bienvenido, Verificar cuenta o «Gracias por registrarte» ayuda a rastrear registros olvidados.

Gestión de contraseñas: utilizar gestores especializados que permitan identificar y limpiar credenciales obsoletas, así como reforzar la seguridad de las cuentas en uso.

Crea contraseñas únicas y fuertes: cada cuenta debe contar con su propio acceso seguro, evitando el uso de las mismas claves en distintos servicios.

Habilita la verificación en dos pasos (2FA): incluso si la cuenta se mantiene únicamente como respaldo.

Ten cuidado al usar conexiones públicas: evita acceder a cuentas importantes desde redes WiFi abiertas sin usar adicionalmente una VPN.

Prevención contra el phishing: desconfiar de mensajes inesperados y no acceder a enlaces sospechosos, sobre todo si intentan incentivar reacciones rápidas bajo falsa urgencia.