Tecnolog¨ªa
C¨®mo los hackers pueden robar tus cuentas con tu propia ayuda y sin que lo sepas
Muchos juegos de redes sociales como los del hor¨®scopo o los de ¡°crear nombres¡± son, en realidad, t¨¢cticas de ingenier¨ªa social dise?adas para extraer datos privados de sus v¨ªctimas, que posteriormente pueden ser usados para robar sus cuentas.
Seguro que alguna vez has visto esos ¡°juegos¡± aparentemente inofensivos en redes sociales que te invitan a compartir detalles personales como tu fecha de nacimiento, el nombre de tu mascota o tu lugar de nacimiento. Puede que incluso hayas participado en alguno, sin sospechar que detr¨¢s de la diversi¨®n hay un objetivo mucho m¨¢s siniestro: recopilar datos personales que los hackers pueden usar para robar cuentas. En este art¨ªculo os explicamos c¨®mo funcionan estas trampas y qu¨¦ puedes hacer para evitar caer en ellas.
No participes en estos juegos en redes sociales si no quieres ser v¨ªctima de un posible robo de cuentas e identidad
En redes sociales, es com¨²n ver publicaciones que invitan a los usuarios a participar en juegos aparentemente inofensivos. Desde ocurrencias como ¡°descubre tu nombre de actor porno¡± hasta ¡°qu¨¦ personaje de ficci¨®n ser¨ªas seg¨²n tu fecha de nacimiento¡±, estos retos parecen ¨²nicamente una forma divertida de interactuar. Sin embargo, muchos de ellos est¨¢n dise?ados para extraer informaci¨®n personal valiosa sin que los usuarios se den cuenta. Datos privados y de car¨¢cter personal como el nombre de nuestra primera mascota, el de nuestros padres, o nuestra fecha o lugar de nacimiento pueden parecer triviales, pero suelen coincidir con las preguntas de seguridad que protegen el acceso a cuentas en distintos servicios como correo electr¨®nico y redes sociales.
En otras palabras: estos ¡°juegos¡± est¨¢n dise?ados deliberadamente para que los usuarios que piquen compartan de manera voluntaria datos que, aunque pueda parecer que carecen de importancia, pueden ser utilizados en el servicio de recuperaci¨®n de cuentas para rob¨¢rnoslas. Se trata de una estrategia de ingenier¨ªa social. Algunos de estos juegos virales pueden tomar distintas formas, pero suelen compartir el mismo prop¨®sito oculto. Debajo os dejamos con varios ejemplos:
- Generadores de nombres: ¡°Tu nombre de estrella del rock es el nombre de tu primera mascota m¨¢s el nombre de la ciudad donde naciste¡±.
- Hor¨®scopos y fortuna: ¡°Esta es la suerte que tendr¨¢s este a?o seg¨²n tu fecha de nacimiento¡±.
- Desaf¨ªos de recuerdos: ¡°Publica el nombre de tu primer coche y el a?o en que lo compraste¡±.
- Cuestionarios nost¨¢lgicos o ex¨®ticos: ¡°Tu nombre, raza y profesi¨®n en el mundo de ¡®Star Wars¡¯ es una combinaci¨®n de tu fecha de nacimiento y tu nombre y apellidos¡±.
Participar en estos juegos puede parecer inofensivo, pero al compartir esta informaci¨®n en p¨²blico o incluso con amigos, se est¨¢ proporcionando a posibles atacantes datos que podr¨ªan usar para restablecer contrase?as o suplantar la identidad del usuario. Los ciberdelincuentes no necesitan hackear bases de datos complejas cuando la gente les regala voluntariamente las respuestas a las preguntas de seguridad de sus cuentas bancarias, redes sociales o correos electr¨®nicos.
?Qu¨¦ puede llevar a un hacker a robar nuestras cuentas de redes sociales?
El robo de una cuenta en redes sociales rara vez es el objetivo final de un ciberdelincuente. En muchos casos, es solo el primer paso hacia un delito m¨¢s elaborado, y que puede ser continuado en el tiempo. Una vez que un atacante tiene acceso a nuestra cuenta, puede suplantarnos para enga?ar a nuestros contactos y hacerles caer en trampas dise?adas para robar su dinero o informaci¨®n. Por ejemplo, pueden enviar mensajes a familiares y amigos pidiendo ayuda econ¨®mica con una excusa cre¨ªble, como una emergencia m¨¦dica o un problema inesperado, cuando en realidad el dinero ir¨¢ directamente al hacker. Adem¨¢s, pueden utilizar la cuenta robada para difundir enlaces maliciosos que contengan alg¨²n tipo de estafa, aprovechando la confianza que nuestros contactos tienen en nosotros.
Tambi¨¦n pueden usar la cuenta para chantajear al propio usuario exigiendo un rescate a cambio de devolverle el acceso, una t¨¢ctica habitual en casos de secuestro digital de cuentas. En situaciones m¨¢s graves, los atacantes pueden hallar contenido comprometedor como fotograf¨ªas y v¨ªdeos de car¨¢cter ¨ªntimo en mensajes privados o almacenadas en la nube asociada a la cuenta para intentar extorsionar a la v¨ªctima con amenazas de divulgarlos a nuestra familia y amigos, una pr¨¢ctica conocida como sextorsi¨®n.
Por si no fuese suficiente grado de peligrosidad, muchas cuentas de redes sociales pueden estar vinculadas a otros servicios que almacenan dinero o informaci¨®n financiera, o las cuentas comprometidas pueden usar la misma combinaci¨®n de correo electr¨®nico o nombre de usuario y contrase?a. Un atacante que acceda a una cuenta comprometida podr¨ªa tratar de entrar en plataformas como PayPal, Amazon ¡ªdonde podr¨ªamos tener saldo acumulado en forma de cheques regalo¡ª o incluso servicios bancarios online, sobre todo si encuentra correos electr¨®nicos relacionados con pagos o recuperaciones de contrase?a. En el peor de los casos, un ciberdelincuente con acceso a varias cuentas puede ir encadenando ataques hasta tomar el control total de la identidad digital de una persona, con consecuencias desastrosas para la v¨ªctima.
?C¨®mo saber si nuestras cuentas de correo electr¨®nico han sido comprometidas? ?C¨®mo evitar el robo de nuestras cuentas?
En muchas ocasiones las propias compa?¨ªas de redes sociales y otra infraestructura en l¨ªnea no informan a sus usuarios sobre vulneraciones en la seguridad de sus sistemas. Por ello, es recomendable utilizar herramientas que detecten si alguna de nuestras cuentas de correo electr¨®nico han sido comprometidas en un ciberataque. Webs como Have I Been Pwned son muy ¨²tiles, ya que nos permiten comprobar si alguna de nuestras direcciones de correo ha quedado expuesta en una filtraci¨®n de datos. Si encontramos nuestro correo en una brecha de seguridad, lo m¨¢s recomendable es cambiar inmediatamente todas las contrase?as de cualquier servicio en el que nos hayamos registrado con ¨¦l. Si nos registramos en su lista de notificaciones, recibiremos avisos autom¨¢ticos en caso de que nuestra direcci¨®n aparezca en futuras filtraciones o robos de datos de gran envergadura.
La autenticaci¨®n en dos pasos (2FA) es una de las medidas m¨¢s eficaces, ya que incluso si un atacante obtiene nuestra contrase?a, necesitar¨ªa un c¨®digo adicional generado en nuestro tel¨¦fono o enviado a otro dispositivo seguro para acceder a la cuenta. Tambi¨¦n es recomendable activar opciones de seguridad adicionales de biometr¨ªa, como el reconocimiento facial o la huella dactilar, cuando est¨¦n disponibles, ya que estas formas de autenticaci¨®n son mucho m¨¢s dif¨ªciles de falsificar. Usar gestores de contrase?as para generar claves ¨²nicas y complejas para cada servicio tambi¨¦n ayuda a minimizar riesgos, evitando que un solo robo de credenciales comprometa m¨²ltiples cuentas.
M¨¢s all¨¢ de estas herramientas, adoptar buenas pr¨¢cticas en el uso de internet y redes sociales es clave para minimizar el riesgo de sufrir un ataque, si bien es cierto que no lo elimina por completo. No compartir informaci¨®n de car¨¢cter privado en foros p¨²blicos o redes sociales es algo esencial no solo para mantener nuestra privacidad, sino tambi¨¦n para evitar o dificultar posibles robos de cuentas y suplantaciones de identidad que nos puedan perjudicar tanto a nosotros mismos como a nuestro entorno.