Hace poco, durante los días del lanzamiento del cohete de SpaceX al espacio, unos ciberdelincuentes hackearon dos cuentas de Youtube y lograron estafar más de 150.000 dólares en tan solo dos días. Los malhechores se hicieron con las dos cuentas, les cambiaron la apariencia para que pareciese que eran las cuentas de SpaceX (la compañía aeroespacial de Elon Musk) y les cambiaron el nombre a Space X Live y Space X. Emitieron en directo vídeos de Elon Musk hablando en conferencias y entrevistas, y los canales fueron usados para promover una estafa en la que pedían pequeñas cantidades de bitcoins con la promesa de doblar la cantidad de dinero a los inversores. Pero, ¿cómo consiguieron hackear esas cuentas?
Cuando escuchamos decir "han hackeado la cuenta de €" nos imaginamos que gente con mucho conocimiento informático ha vulnerado la seguridad de un servicio o red social, o que han utilizado algún tipo de virus o malware para conseguir los datos de acceso. La realidad es que la mayoría de veces es más sencillo. Muchos utilizamos multitud de servicios online a lo largo de los años. Si hacemos memoria, seguro que podemos recordar más de veinte servicios que hemos utilizado en los últimos diez años: esa suscripción gratuita para probar un servicio de almacenamiento en la nube, páginas para ver películas y series online, aquella vez en la que creamos una cuenta en Mil Anuncios o Wallapop para anunciar algo, cuando creamos otra en un portal inmobiliario para buscar un piso, esa app que me descargué porque tenía curiosidad y había que crearse una cuenta, esa tienda online en la que compré algo hace poco€
Lo cierto es que yo mismo, que guardo las contraseñas de forma automática en un gestor de contraseñas, durante seis años he acumulado más de 150 cuentas diferentes en servicios online.
Esto puede ser un problema, porque la mayoría de cuentas las tenía olvidadas y no las cancelé al dejar de usar esos servicios; simplemente dejé de usar los servicios y me olvidé de ellas. Eso significa que mi información de acceso sigue estando en las bases de datos de esas empresas, y si dichas empresas dejan de actualizar las protecciones de sus servidores, no las protegen correctamente o dejan de dar servicio, la información queda expuesta.
Hay muchos ciberdelincuentes que se dedican a buscar servidores sin protección o vulnerables en Internet, y cuando los encuentran consiguen la información guardada, como los datos de acceso a esos servicios. Al recopilar muchos nombres de usuario y contraseñas, a través de programas y acciones automatizadas van probándolos en todos los servicios online actuales: correos electrónicos, cuentas en tiendas online, Paypal, Google, redes sociales, servicios de inversión online€ Si siempre hemos utilizado el mismo correo electrónico y la misma contraseña para todo, cuando alguien se haga con esos datos tendrá acceso a todos los servicios en los que los usemos.
Y eso es lo que pasó con esas cuentas de Youtube. Los ciberdelincuentes fueron inteligentes y hackearon cuentas que ya tenían 50.000 y 230.000 suscriptores, con lo que se aseguraron que muchas personas verían la estafa.
Es importante tener contraseñas diferentes en cada servicio y cambiar de contraseña de vez en cuando, por ejemplo cada seis u ocho meses. Si nos parece imposible recordarlas todas podemos usar gestores de contraseñas para organizarlas y tenerlas siempre presentes. Ya vienen gestores de contraseñas integrados en iOS y en los últimos sistemas operativos de Android. También podemos descargar apps específicas, como 1Password, Keeper, Dashlane, LastPass€ Tenemos muchas opciones. La mayoría de gestores de contraseñas son de pago, pero merece la pena gastar en un servicio así.
Para aumentar la protección de nuestras cuentas se recomienda activar la verificación en dos pasos en todos los servicios online en los que sea posible.
Este puede ser un buen momento para dedicar treinta minutos a cambiar las contraseñas en todos los servicios online que tenemos.