Hace poco, durante los días del lanzamiento del cohete de Spacex al espacio, unos ciberdelincuentes hackearon dos cuentas de Youtube y lograron estafar más de 150.000$ en tan solo dos días.
Los malhechores se hicieron con las dos cuentas, les cambiaron la apariencia para que pareciese que eran las cuentas de SpaceX (la compañía aeroespacial de Elon Musk) y les cambiaron el nombre a “Space X Live” y “Space X”. Emitieron en directo videos de Elon Musk hablando en conferencias y entrevistas y los canales fueron usados para promover una estafa en la que pedían pequeñas cantidades de Bitcoin con la promesa de doblar la cantidad de dinero a los inversores.
¿Cómo consiguieron hackear las cuentas?
Cuando oímos “han hackeado la cuenta de …” nos imaginamos que gente con mucho conocimiento informático, ha vulnerado la seguridad de un servicio o red social, o que han utilizado algún tipo de virus o malware para conseguir los datos de acceso. La realidad es que la mayoría de veces es mucho más sencillo. Muchos utilizamos multitud de servicios online a lo largo de los años. Si hacemos memoria seguro que podemos recordar más de 20 servicios que hemos utilizado en los últimos 10 años: esa suscripción gratuita para probar un servicio de almacenamiento en la nube, páginas para ver películas y series online, aquella vez en la que creamos una cuenta en “Mil anuncios” o “Wallapop” para anunciar algo, o cuando creamos una cuenta en un portal inmobiliario para buscar un piso, esa app que me descargué porque tenia curiosidad y había que crearse una cuenta, esa tienda online en la que compré algo hace poco… lo cierto es que yo mismo, que guardo las contraseñas de forma automática en un gestor de contraseñas, durante 6 años he acumulado más de 150 cuentas diferentes en servicios online.
Puede ser un problema porque la mayoría de cuentas las tenía olvidadas y no las cancelé al dejar de usar esos servicios, simplemente dejé de usar los servicios y me olvidé de ellas. Eso significa que mi información de acceso sigue estando en las bases de datos de esas empresas. Y si esas empresas dejan de actualizar las protecciones de sus servidores, no las protegen correctamente o dejan de dar servicio la información queda expuesta.
Hay muchos ciberdelincuentes que se dedican a buscar servidores sin protección o servidores vulnerable en Internet, y cuando los encuentran consiguen la información guardada como los datos de acceso a esos servicios. Al recopilar muchos nombre de usuario y contraseñas, a través de programas y acciones automatizadas van probándolos en todos los servicios online actuales: Correos electrónicos, cuentas en tiendas online, Paypal, Google, redes sociales, servicios de inversión online… Si siempre hemos utilizado el mismo correo electrónico y la misma contraseña para todo, cuando alguien se haga con esos datos tendrá acceso a todos los servicios en los que los usemos.
Y eso es lo que pasó con esas cuentas de Youtube. Los ciberdelincuentes fueron inteligentes y hackearon cuentas que ya tenían 50.000 y 230.000 suscriptores con lo que se aseguraron que muchas personas verían la estafa.
Es importante tener contraseñas diferentes en cada servicio y cambiar de contraseña de vez en cuando, por ejemplo cada 6 - 8 meses. Si nos parece imposible recordar todas las contraseñas podemos usar gestores de contraseñas para organizarlas y recordarlas. Ya vienen gestores de contraseñas integrados en iOS y en los últimos sistemas operativos de Android. También podemos descargar apps específicas como 1Password, Keeper, Dashlane, LastPass… Tenemos muchas opciones. La mayoría de gestores de contraseñas son de pago pero merece la pena pagar por un servicio así.
Para aumentar la protección de nuestras cuentas, se recomienda activar la verificación en dos pasos en todos los servicios online en los que sea posible.
Es un buen momento para dedicar 30 minutos a cambiar las contraseñas en todos los servicios online que tenemos.
Comentarios