En la era digital, la creación de múltiples cuentas en línea se ha vuelto una rutina. Sin embargo, un número alarmante de estas cuentas, una vez creadas, quedan en el abandono, convirtiéndose en un blanco fácil para los ciberdelincuentes. ESET advierte sobre el grave riesgo que representan estas cuentas inactivas o «zombies», tanto a nivel personal como corporativo, y subraya la urgencia de una «limpieza digital» para salvaguardar la información y prevenir la distribución de malware.
Se estima que una persona promedio maneja alrededor de 168 contraseñas de cuentas personales. Muchas de estas se generan para fines específicos y temporales, como pruebas gratuitas de servicios o el uso esporádico de una aplicación durante vacaciones. La mayoría de estas cuentas son olvidadas, pero su inactividad no las hace inofensivas.
El peligro de lo olvidado: Más allá de la simple inactividad
«Hay muchas razones por las que puedes tener un gran número de cuentas olvidadas e inactivas. Lo más probable es que te bombardeen a diario con ofertas especiales y nuevos servicios digitales. A veces, la única forma de comprobarlos es registrarse y crear una cuenta nueva. Pero somos humanos: nos olvidamos, nuestros intereses cambian con el tiempo y a veces no recordamos los inicios de sesión y seguimos adelante. A menudo es más difícil eliminar una cuenta que dejarla inactiva. Sin embargo, eso puede ser un error y representar un peligro para nuestra información», explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Según datos de Google, las cuentas que permanecen inactivas por un largo período tienen una probabilidad diez veces mayor de ser comprometidas y utilizadas indebidamente, especialmente si sus credenciales han sido expuestas en brechas de seguridad previas. Google también señala que estas cuentas abandonadas son significativamente menos propensas a tener configurada la verificación en dos pasos (2FA), una barrera crucial contra accesos no autorizados.
Tácticas de los ciberdelincuentes y sus consecuencias
Las cuentas «perdidas» son un objetivo atractivo para la apropiación de cuentas (ATO, por sus siglas en inglés). Los cibercriminales emplean diversas técnicas para su robo:
Malware Infostealer: Programas maliciosos diseñados para sustraer datos de acceso. Un informe reciente reveló que el año pasado se robaron 3.200 millones de credenciales, el 75% a través de este tipo de malware.
Filtraciones de datos a gran escala: Recopilación masiva de bases de datos de contraseñas y nombres de usuario de terceros.
Credential stuffing: Los hackers utilizan credenciales filtradas en software automatizado para intentar desbloquear cuentas donde se ha reutilizado la misma contraseña.
Fuerza bruta: Empleo de ensayo y error para adivinar contraseñas.
Las consecuencias de que un atacante acceda a una cuenta personal inactiva pueden ser devastadoras:
Distribución de spam y estafas: Envío de correos electrónicos no deseados o ataques de phishing convincentes a los contactos del titular, buscando obtener información confidencial o instalar malware.
Fraude de identidad y phishing: Búsqueda de información personal o datos de tarjetas guardadas (incluso si han caducado) para cometer fraude o lanzar más ataques de phishing haciéndose pasar por el proveedor de servicios.
Venta en la dark web: Las cuentas, especialmente aquellas con valor adicional como programas de fidelización o millas aéreas, pueden ser vendidas en mercados clandestinos.
Vaciamiento de fondos: En el caso de criptowallets o cuentas bancarias, los fondos pueden ser sustraídos. Se estima que solo en el Reino Unido, podría haber 82 mil millones de libras esterlinas (aproximadamente 109 mil millones de dólares) en cuentas bancarias, de ahorro y pensiones perdidas.
Riesgos corporativos y medidas preventivas
Las cuentas inactivas en el ámbito empresarial también son un riesgo crítico, ya que pueden facilitar el acceso a datos y sistemas corporativos sensibles. Estos datos pueden ser robados, vendidos o utilizados para exigir rescates. Ejemplos notorios incluyen:
La brecha de ransomware en Colonial Pipeline (2021), que se originó a partir del secuestro de una cuenta VPN inactiva, provocando una escasez de combustible significativa en la costa este de Estados Unidos.
El ataque de ransomware en 2020 al distrito londinense de Hackney, parcialmente atribuido a una contraseña insegura en una cuenta inactiva conectada a los servidores del ayuntamiento.
Para mitigar estos riesgos, algunos proveedores de servicios como Google, Microsoft y X cierran automáticamente las cuentas inactivas después de cierto tiempo. Sin embargo, ESET recomienda un enfoque proactivo:
Auditorías periódicas: Buscar en la bandeja de entrada del correo electrónico palabras clave como «Bienvenido», «Verificar cuenta», «Prueba gratuita», para identificar y eliminar cuentas inactivas.
Gestión de contraseñas: Revisar el gestor de contraseñas o la lista de contraseñas guardadas del navegador para eliminar aquellas vinculadas a cuentas inactivas o actualizar las inseguras.
Revisar políticas de eliminación: Asegurarse de que los proveedores de servicios eliminen toda la información personal y financiera al cerrar una cuenta.
Pensar antes de crear: Ser consciente de la necesidad real antes de abrir una nueva cuenta en línea.
Para las cuentas que se decida conservar, ESET aconseja:
Contraseña fuerte y única: Utilizar una contraseña robusta y diferente para cada cuenta, almacenándola en un gestor de contraseñas.
Autenticación de dos factores (2FA): Activar 2FA en todas las cuentas posibles.
Precaución con redes Wi-Fi públicas: Evitar conectarse a cuentas sensibles en redes Wi-Fi públicas sin usar una VPN.
Phishing: Tener extrema precaución con los mensajes de phishing que intentan obtener datos de acceso o instalar malware. Nunca hacer clic en enlaces sospechosos o que insten a una acción inmediata bajo presión.
«Lo más probable es que la mayoría de nosotros tengamos docenas de cuentas inactivas esparcidas por Internet. Dedicar unos minutos al año a hacer limpieza puede hacer que tu vida digital sea un poco más segura», concluye Camilo Gutiérrez Amaya.
Fuente: ESET
