Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

¿Cuentas comprometidas? Compruébalo

Fecha de publicación 09/12/2020
Imagen decorativa, ¿Cuentas comprometidas? Compruébalo

¿Cuántos usuarios son conscientes de la posibilidad de que la seguridad de sus cuentas haya podido ser comprometida debido a alguna filtración; es decir, robo de datos? La mayoría de nosotros no somos conscientes de ello e ignoramos esta posibilidad hasta que es demasiado tarde.

Los ciberdelincuentes no descansan, y día a día lanzan ataques a páginas y servicios web con el objetivo de desactivar sus defensas o encontrar vulnerabilidades por las que acceder a los valiosos datos que almacenan en sus servidores.

No son pocos los ejemplos de fugas de datos de grandes plataformas y servicios web. Por ejemplo, un ataque reciente a la compañía Freepik Company, a mediados de 2020, hizo que se filtraran las credenciales de 8,3 millones de usuarios. Este incidente obligó a sus usuarios a actualizar las contraseñas para evitar el robo de algunos datos de acceso a sus cuentas. Además de la pérdida de privacidad, este tipo de filtraciones se convierten en el anzuelo perfecto para que los ciberdelincuentes lancen a los usuarios afectados ataques basados en ingeniería social, como phishing y campañas de spam.

Como podemos ver, las consecuencias de una filtración de datos son muy graves, pero, ¿qué podemos hacer los usuarios para estar al tanto sobre ellas? Por suerte para nosotros existen herramientas que se encargan de recopilarlas para ser consultadas y que nos permiten localizar las cuentas que hayan podido ser comprometidas, incluso aquellas que no recordábamos haber creado. Una de las más conocidas es la web Have i Been Pwned

Imagen cuentas comprometidas Have i Been Pwned

¿Cómo funciona?

Para entender el funcionamiento y la información que nos proporciona este servicio web, vamos a ver un ejemplo.

Como cualquier usuario, tenemos varias cuentas, algunas de ellas fueron creadas para un uso temporal y ya ni recordamos cómo acceder a ellas, mientras que otras seguimos utilizándolas en nuestro día a día.

De pronto, recibimos una noticia sobre una filtración de datos que ha comprometido la seguridad de un gran número de usuarios en una famosa red social. Rápidamente, como usuarios concienciados que somos, accedemos a la web de Have i Been Pwned

Se trata de un sitio web creado por expertos en ciberseguridad que permiten a los usuarios verificar si sus cuentas han podido ser comprometidas.

Imagen verificar si sus cuentas han podido ser comprometidas

Una vez dentro, nos pedirá que ingresemos nuestro email. La herramienta vinculará ese correo con los datos recogidos de las filtraciones de datos que se han publicado en Internet y nos informará si existe una coincidencia. Además, sabremos si nuestro correo electrónico, afectado por una de estas filtraciones, se ha utilizado en algún servicio que no conocíamos o que habíamos olvidado debido al poco uso.

Imagen buscar email

Si avanzamos por la página web veremos los distintos servicios donde nuestra seguridad ha sido vulnerada y nuestras cuentas comprometidas.

imagen cuentas vulneradas

Cada resultado nos proporciona información concreta sobre la fuga de datos del servicio afectado: fecha del acontecimiento, cómo se originó y el tipo de datos que se filtraron. En el caso de la fuga de datos de LinkedIn en 2016 se vieron comprometidos los correos electrónicos y contraseñas de 164 millones de usuarios.

Además de esta herramienta, existen muchas otras, como FirefoxMonitor o Dehashed, que nos proporcionan información detallada sobre estas filtraciones de datos, y que conviene comprobar para verificar el volumen total de nuestras cuentas comprometidas.

A continuación, lo lógico es plantearse qué hacer y cómo minimizar el impacto de esta filtración, ¿verdad? Pues bien, hay que seguir una serie de pasos con los que proteger nuestras cuentas y mantener a salvo nuestra privacidad.

¿Cómo proteger nuestras cuentas?

Tanto si acabamos de comprobar que alguna de nuestras cuentas ha sido comprometida, como si simplemente queremos mejorar la seguridad de las mismas, existen una serie de medidas a tomar:

  1. Cambiar todas las contraseñas. Lo primero y fundamental será cambiar las contraseñas de las cuentas de aquellos servicios que hayan sido comprometidos; y, en el caso de que tengamos otras cuentas en las que hayamos utilizado la misma combinación de correo y contraseña, también deberemos hacerlo.
  2. Utilizar una contraseña segura. Las contraseñas más débiles son las primeras en ser descubiertas por los ciberdelincuentes. Por ello, para minimizar la posibilidad de que nuestras cuentas sean comprometidas, debemos recurrir a contraseñas robustas y utilizar gestores de contraseñas con los que gestionar distintas contraseñas para cada cuenta.
  3. Activar medidas de protección adicionales. Por ejemplo, la verificación en dos pasos siempre que esté disponible en el servicio a utilizar.
  4. Comprobar las filtraciones de datos. Finalmente, es recomendable que hagamos una verificación de nuestras cuentas cada cierto tiempo, utilizando para ello herramientas como las que hemos explicado. De este modo, podremos actuar antes de que nuestra información termine utilizándose para alguna actividad ilícita o sea vendida a terceros.

Por último, es importante que recordemos que, aunque estas filtraciones se deben a vulnerabilidades en las propias páginas y servicios web, no podemos dejar de lado la seguridad de nuestras cuentas. Aunque las contraseñas son una de las principales defensas contra los ciberdelincuentes, no debemos olvidar que nosotros, los usuarios, somos la primera de ellas.

El sentido común y la mirada crítica nos ayudarán, por ejemplo, a combatir los ataques basados en ingeniería social que buscan hacerse con nuestros datos y contraseñas. Desde la OSI, canal especializado en ciudadanos de INCIBE, queremos ayudar, por lo que ponemos a disposición de todos los usuarios una gran variedad de recursos y herramientas con los que concienciar y mantener a raya a los ciberdelincuentes. 

Si tienes dudas, también dispones de la Línea de Ayuda en Ciberseguridad de INCIBE, 017, totalmente gratuita y confidencial. 

¿Conocías esta web? ¿Has comprobado si alguna de tus cuentas ha sido comprometida? Comparte con el resto de los usuarios tu opinión y experiencia y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.

Artículo enmarcado dentro de la campaña
Ingeniería social: que no te engañen