¿Cómo pueden hackearme una cuenta de usuario?

Es posible que alguno de vosotros haya sido afectado alguna vez por un hackeo de cuenta, es posible que ni siquiera lo hayáis notado. En ocasiones puede llegarnos algún tipo de notificación de que ha habido un intento de ingreso en una de nuestras cuentas de correo, o que algún amigo nos ha visto conectados en alguna de nuestras redes sociales cuando ni si quiera estábamos despiertos. Hoy en RedesZone vamos a enumerar algunas de las técnicas que son usadas por los ciberdelincuentes para llevar a cabo este tipo de incursiones en nuestras cuentas, y también os daremos unos cuántos consejos para minimizar todo lo posible los accesos indeseados.

Si nunca has sufrido algún ataque de este tipo, es posible que todo esto te pueda sonar a leyenda. Pero la verdad, es que el número de cuentas de usuario perjudicadas por este tipo de robo a lo largo de una semana, es lo suficientemente grande como para que se asuste cualquiera que lo vea. Más de 250.000 cuentas de correo aparecen en el mercado negro cada semana. Y es que, en ocasiones, lo ponemos tan fácil con muchos de nuestros hábitos que no es de extrañar que se produzcan continuamente estos robos día tras día. En nuestros días, gracias al continuo crecimiento de las redes sociales, este tipo de prácticas no hacen más que aumentar por culpa de la cantidad de datos personales que, sin darnos cuenta, vertimos en ellas.

Hace tiempo, el objetivo preferido por los cibercriminales eran las cuentas de correo y mensajería de Hotmail, pero con el tiempo todo cambia, y ahora el objetivo prioritario son las redes sociales, con Facebook e Instagram a la cabeza, seguidas muy de cerca por Twitter. Os vamos a comentar cuáles son los métodos más comunes y qué podemos hacer para evitarlos, o al menos, intentarlo.

OSINT como método para entrar en tus cuentas

El ciberdelincuente en cuestión intentará acceder a tus datos usando las contraseñas que haya obtenido con un pequeño seguimiento de tu actividad. Esto las redes sociales lo ponen extremadamente fácil, ya que, en ocasiones nuestras contraseñas son el nombre de algún familiar cercano, como pareja o hijos, el nombre de nuestra mascota, una fecha señalada para nosotros etc. Este tipo de cosas son las que se pueden obtener recabando datos dentro de las redes sociales, ya que está prácticamente a la vista con solo seguir una de estas cuentas.

Facebook, el gran objetivo. Facebook ha vuelto a ser, una vez más, la red social más usada en el año que acaba de concluir, el 2020. Sin duda, posee una gran cantidad de información sobre nosotros y nuestros allegados. Muchas veces pensamos que, porque un sitio web sea tan conocido o no nos pida directamente nuestros datos bancarios, no puede ser potencialmente peligroso, y eso no es cierto, igualmente gracias a los juegos de Facebook podemos sumar a la ecuación del robo nuestros datos bancarios lo que puede conseguir que nos llevemos un susto bastante desagradable.

Con este tipo de datos los ciberdelincuentes, o los compradores de este tipo de cuenta, pueden llevar a cabo una suplantación de identidad para, por ejemplo, pedir un préstamo bancario con nuestros nombres, o hacerse pasar por nosotros para realizar algún tipo de compra ilegal.

Instagram es otro gigante, tiene una cantidad de documentos personales tanto escritos como gráficos que muchas veces podemos pensar que no son tan importantes, pero pueden valer para lo mismo, hacer mucho más fácil una suplantación de identidad. En ocasiones también se han dado casos de chantaje, el ciberdelincuente publicaría contenido privado si no se accedía a sus demandas.

Twitter parece inofensivo, porque solo nos metemos para hacer un pequeño comentario o ver quién ha dicho qué en cada momento. Pero el peligro real de Twitter es que es un cauce gigante de información, a diario se intentan robar las cuentas con más seguidores con objetivos promocionales o publicitarios ya que se puede llegar a una gran cantidad de personas en un espacio de tiempo extremadamente corto.

Lo que os aconsejamos para evitar este tipo de problemas, es ser extremadamente escrupuloso con los datos que publicáis en vuestras redes sociales, que os abstengáis de los excesos innecesarios de información, que a la hora de elegir una contraseña, sea una contraseña segura que no pueda descubrirse mediante ingeniería social porque alguien revise vuestras redes y escudriñe en vuestra vida, y sobre todo, que cambiéis cada cierto tiempo vuestra contraseña a una que sea aún más segura que la anterior.

Usar la misma contraseña para todo, mala idea

En este apartado no hay mucho que decir. Y a algunos os parecerá disparatado, pero esto pasa, y pasa continuamente. Por hacer menos complicado el acceso a redes sociales, cuentas de correo, cuentas de mensajería… Usamos la misma contraseña para todas ellas y eso es un error garrafal, ya que en el momento en que tengan acceso a una cuenta, el resto caerán por efecto dominó, quedando totalmente a merced del ciberdelincuente en cuestión y de lo quiera hacer con cada una de nuestras cuentas.

La solución es sencilla, usad una contraseña diferente para cada acceso, y no hagáis lo típico de cambiar una letra o un número, claves bastante diferentes.  Cread una contraseña que sea totalmente diferente y segura para cada cuenta, usad mayúsculas y minúsculas, usad números y para complicarlo aún más, usad algún carácter raro como la arroba o la diéresis.

Uso de redes wifi públicas sin clave, otro gran error

El dueño de la red, o prácticamente cualquiera, puede interceptar el tráfico de la red obteniendo al instante nuestras contraseñas con un simple programa de análisis de tráfico, este acto se conoce como sniffing. En este país, usar una red abierta con el objetivo de obtener datos de usuario mediante sniffing es una práctica es totalmente ilegal, pero no significa que no se use, con lo que deberemos prestar especial atención para no usar estar redes «gratuitas», o en caso de necesitar acceso obligado a Internet y no tener otro modo, no conectarnos a ninguna de nuestras redes sociales para no tener ningún tipo de problema.

Ataque de correo simulado, phishing en toda regla

Muchas veces nos llegan correos de nuestro banco, nuestro operador telefónico, o cualquier otra entidad de peso en el que se refleja que ha habido algún tipo de problema y que es necesario una revisión de nuestros datos para solventarlo. En ocasiones, estos correos están tan sumamente trabajados, que son exactamente igual al que usan las entidades en cuestión. Este enlace nos lleva a una página igualmente trabajada donde se nos pide la confirmación de los datos, y al introducirlos nos entregará el mensaje de que el problema en cuestión se ha solucionado y que podemos usar el servicio con normalidad, pues bien, acabamos de entregarle nuestra cuenta a otra persona.

Absolutamente ninguna entidad nos va a pedir nuestra contraseña de acceso a nuestra cuenta, es posible que en algún momento nos pida otro tipo de datos porque actualicen sus políticas de seguridad o alguna otra gestión de este tipo, pero jamás nos pedirá nuestra contraseña.

Para evitar este tipo de problema, lo tenemos fácil, si nos piden contraseña sobre algo, cerramos inmediatamente. Otra pista esencial para detectar un ataque de correo simulado es la dirección del remitente, si, por ejemplo, nuestro banco tiene que comunicarnos algo, lo hará a través de una dirección sencilla y fácilmente reconocible, sin embargo, las direcciones desde las que llegan este tipo de correos son direcciones muy extrañas y es sencillo atisbar que no son confiables.

Keylogger o analizador de pulsado de teclas

Este tipo de programas suelen ser indetectables ya que pueden llegar a entrar en tu ordenador a través de algún correo de dudosa procedencia, este tipo de programa registrará toda pulsación del teclado y lo guardará en un archivo el cual se enviará automáticamente al remitente. Esto presenta clara la amenaza, todo lo que se escriba con el teclado será de otra persona, claves, contraseñas, número privados, conversaciones, todo.

Ante esto, lo mejor es tener instalado un buen antivirus y un antimalware y escanear nuestro equipo de manera periódica. Os hemos dado medidas puntuales para cada caso, pero la verdad es que hay medidas que funcionan ante todos los casos. Lo mejor es hacer uso del sentido común para saber que hacer público y que no, y tener nuestro equipo protegido con medidas de seguridad tales como un antivirus eficiente el cual sea capaz de hacer frente a las amenazas sin problemas.

El artículo ¿Cómo pueden hackearme una cuenta de usuario? se publicó en RedesZone.