Por qué las cuentas olvidadas de Gmail, Instagram y más redes sociales pueden ser un peligro de seguridad

Es normal que con el tiempo hayamos acumulado cuentas de correo o de redes sociales que ya no usamos y que ignoramos puedan convertirse en un peligro para nuestra seguridad.

Estos perfiles inactivos pueden ser un objetivo de ciberdelincuentes para atacar a usuarios particulares o a empresas, ante el descuido de no saber que aún existen activas.

Qué pasa con las cuentas olvidadas de correo y redes sociales

El promedio actual indica que una persona administra alrededor de 168 contraseñas de cuentas personales a lo largo del tiempo. Muchas de estas cuentas corresponden a servicios que se probaron brevemente, aplicaciones descargadas por una necesidad puntual, o suscripciones temporales. Una vez pasado el motivo inicial, estas cuentas suelen quedar inactivas y, en la mayoría de los casos, el usuario olvida su existencia.

Y la principal amenaza proviene de la cantidad de datos personales que estas cuentas contienen. Datos como correos electrónicos, contraseñas, fechas de nacimiento, nombres reales, direcciones físicas y, en algunos casos, información bancaria o listas de contactos.

Si un cibercriminal logra acceder a una de estas cuentas, puede utilizar la información de múltiples formas: para suplantar identidades, cometer fraudes, lanzar ataques de phishing o incluso vaciar fondos si se trata de cuentas asociadas a servicios financieros.

Google advierte que las cuentas inactivas tienen más probabilidades de verse comprometidas y que sus credenciales acaban utilizándose si han sido filtradas en brechas de datos históricas. Las cuentas abandonadas, además, presentan una configuración de seguridad más débil: “tienen al menos 10 veces menos probabilidades que las activas de tener configurada la verificación en dos pasos”, según la empresa.

El interés de los ciberdelincuentes por estas cuentas se refleja en el crecimiento de técnicas como el Malware Infostealer, diseñado para robar datos de acceso. Solo en el último año, se calcula que se robaron más de 3.200 millones de credenciales, la mayoría a través de este tipo de malware.

Además, la reutilización de contraseñas facilita los ataques de credential stuffing, donde los hackers prueban automáticamente combinaciones de usuario y contraseña en distintos servicios hasta encontrar accesos válidos.

No todas las amenazas se limitan a usuarios individuales. Las cuentas inactivas de empresas también representan un grave riesgo, ya que pueden proporcionar acceso a información confidencial de la organización. El caso del ataque de ransomware a Colonial Pipeline en 2021, que comenzó con el secuestro de una cuenta VPN inactiva, ilustra el potencial daño de descuidar estos accesos.

Cómo evitar los riesgos de las cuentas olvidadas

Frente a este escenario, tanto empresas como usuarios particulares deben adoptar una actitud proactiva. Algunos proveedores, como Google, Microsoft y X (antes Twitter), han comenzado a cerrar automáticamente cuentas inactivas después de cierto tiempo para reducir riesgos. Sin embargo, la responsabilidad principal recae en cada usuario.

Desde ESET recomiendan realizar auditorías periódicas. Una forma eficaz de identificar cuentas olvidadas es buscar en la bandeja de entrada del correo electrónico palabras clave como ‘Bienvenid’, ‘Verificar cuenta’, ‘Prueba gratuita’, ‘Valida tu cuenta’ o ‘Gracias por registrarte’.

También resulta útil revisar los registros de los gestores de contraseñas o la lista de contraseñas guardadas en navegadores web, eliminando o actualizando aquellas que ya no se utilicen.

Al detectar una cuenta inactiva, conviene comprobar primero la política de eliminación del proveedor, para asegurarse de que la información personal y financiera se eliminará de manera definitiva al cerrar la cuenta. Si el servicio ya no existe o no ofrece una opción clara de borrado, se recomienda eliminar manualmente todos los datos personales y las listas de contactos asociados.

Para las cuentas que se deseen conservar, resulta fundamental:

• Actualizar la contraseña con una combinación fuerte y única, almacenándola en un gestor de contraseñas seguro.
• Activar la autenticación de dos factores (2FA), de modo que incluso si alguien obtiene la contraseña, no pueda acceder a la cuenta sin el código adicional.
• Evitar el acceso a cuentas sensibles en redes wifi públicas, a menos que se utilice una VPN, ya que estas redes pueden facilitar el robo de credenciales.
• Desconfiar de mensajes de phishing y nunca hacer clic en enlaces de correos o mensajes no solicitados, especialmente si presionan para actuar rápidamente.
• Revisar periódicamente las cuentas vinculadas a servicios como Google, Microsoft, Apple o Facebook, eliminando aquellas aplicaciones o sitios web que ya no se utilicen.