Por qué es un riesgo tener cuentas de correo y redes sociales abiertas aunque ya no se usen

En el universo digital actual, sumarse a nuevas plataformas, aplicaciones y servicios es parte de la vida diaria. Este comportamiento produce una acumulación de cuentas digitales, muchas de las cuales quedan inactivas con el tiempo, abriendo un riesgo de seguridad que muchos desconocen.

Un estudio de ESET calcula que el usuario promedio administra cerca de 168 contraseñas para distintas cuentas personales, desde servicios de correo y redes sociales hasta registros temporales para apps y promociones. Pero lo que pocas personas advierten es que dejar cuentas abiertas y abandonadas representa uno de los riesgos más grandes para la seguridad digital.

Las cuentas inactivas suelen escapar del radar de los usuarios, y este descuido permite a los atacantes aprovechar sus debilidades. De acuerdo a información de Google, estos perfiles tienen hasta diez veces menos probabilidades de contar con verificación en dos pasos, lo que facilita el acceso no autorizado.

Además, es común que utilicen contraseñas antiguas o repetidas, muchas ya filtradas en anteriores incidentes de seguridad.

ESET advierte que, durante 2023, 3.200 millones de credenciales fueron robadas, destacando que un 75 % de estos casos involucró malware tipo Infostealer, diseñado para recopilar datos de acceso de los dispositivos infectados. Los riesgos aumentan porque muchas personas olvidan la existencia de estos perfiles, y así, nunca actualizan ni refuerzan sus medidas de seguridad.

Los ciberdelincuentes tienen múltiples tácticas para apropiarse de cuentas olvidadas:

• Malware Infostealer: programas maliciosos que roban datos de acceso directamente de los dispositivos.
• Filtraciones masivas de datos: bases de datos complejas con millones de credenciales circulan en la dark web.
• Credential stuffing: uso automatizado de contraseñas recicladas para intentar acceder a múltiples cuentas.
• Ataques de fuerza bruta: intentos reiterados de adivinar contraseñas usando software especializado.

Según Google, las cuentas abandonadas suelen quedar fuera de las actualizaciones regulares de seguridad. Por este motivo, la probabilidad de sufrir una intrusión aumenta con la falta de actividad y mantenimiento preventivo.

El peligro de mantener cuentas inactivas abiertas no solo reside en la potencial pérdida de datos personales, sino también en la capacidad de los atacantes para utilizarlas de diferentes maneras:

1. Envío de spam y campañas de phishing: los atacantes pueden hacer llegar mensajes maliciosos a los contactos del titular simulando comunicaciones legítimas. El objetivo es robar información confidencial o propagar malware.
2. Fraude de identidad y financiero: al acceder a información personal, direcciones o datos bancarios asociados, los delincuentes pueden realizar compras o abrir otros perfiles en nombre del titular.
3. Venta de cuentas en la dark web: perfiles antiguos pueden tener valor, especialmente los asociados a servicios de puntos o millas.
4. Acceso y vaciado de fondos: si la cuenta está enlazada a servicios financieros o billeteras digitales, es posible que los atacantes realicen transferencias u operaciones sin autorización.
5. Amenazas para empresas: perfiles corporativos inactivos pueden convertirse en puertas traseras para robar datos confidenciales o implementar ransomware, poniendo en jaque la seguridad de organizaciones enteras.

Casos concretos, como el ataque a Colonial Pipeline en Estados Unidos, se originaron por la explotación de una cuenta VPN inactiva con credenciales poco robustas. Incluso ataques recientes a instituciones públicas, como el distrito londinense de Hackney, se vincularon al uso negligente de cuentas antiguas cuyas contraseñas no se actualizaron ni protegieron adecuadamente.

La creciente conciencia del riesgo ha hecho que algunos proveedores, como Google, Microsoft y X, adopten políticas de eliminación automática para perfiles inactivos después de cierto tiempo, como la decisión de Google de borrar cuentas personales con más de dos años de inactividad a partir de diciembre de 2023.

Sin embargo, los expertos en ciberseguridad advierten sobre la importancia de no esperar a la eliminación automática y ser proactivos.

Entre las medidas sugeridas para evitar incidentes de seguridad están:

• Revisión periódica de cuentas: auditar al menos una vez al año las cuentas en uso y eliminar aquellas que ya no sean necesarias.
• Búsqueda eficiente de perfiles antiguos: en la bandeja de entrada del correo electrónico, buscar términos como Bienvenido, Verificar cuenta o «Gracias por registrarte» ayuda a rastrear registros olvidados.
• Gestión de contraseñas: utilizar gestores especializados que permitan identificar y limpiar credenciales obsoletas, así como reforzar la seguridad de las cuentas en uso.
• Contraseñas únicas y robustas: cada cuenta debe tener su propio acceso seguro, evitando la repetición de claves entre diferentes servicios.
• Verificación en dos pasos (2FA): activarla incluso si la cuenta se conserva solo como backup.
• Precaución en conexiones públicas: nunca ingresar a cuentas sensibles desde redes WiFi abiertas sin protección adicional como una VPN.
• Prevención contra el phishing: desconfiar de mensajes inesperados y no acceder a enlaces sospechosos, sobre todo si intentan incentivar reacciones rápidas bajo falsa urgencia.