Tus cuentas olvidadas podrían ser el talón de Aquiles de tu seguridad digital

En la era digital, donde casi todo servicio requiere una suscripción, es común acumular decenas de cuentas a lo largo del tiempo.

Desde registros para acceder a promociones temporales hasta aplicaciones usadas solo en vacaciones, muchas de estas cuentas quedan abandonadas sin ser eliminadas.

Y aunque puedan parecer inofensivas, las cuentas inactivas representan una grave amenaza para la seguridad digital, tanto a nivel personal como corporativo.

De acuerdo con datos de ESET Latinoamérica, una persona promedio maneja cerca de 168 contraseñas de cuentas personales.

Sin embargo, un porcentaje significativo de esas credenciales corresponde a servicios en desuso, olvidados o sin acceso actualizado.

Y es precisamente en ese olvido donde los ciberdelincuentes encuentran terreno fértil para operar.

Un objetivo atractivo para los atacantes

Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, advierte:

“Lo más probable es que tengamos cuentas olvidadas, sin protección, y muchas veces con contraseñas débiles o repetidas. Esto las convierte en una puerta de entrada para delitos como el robo de identidad, el fraude financiero o la distribución de malware.”

Las cuentas inactivas son hasta 10 veces más propensas a ser comprometidas, según Google, en comparación con las cuentas activas que usan autenticación de dos factores (2FA).

Muchas de estas cuentas carecen de protecciones modernas y son vulnerables a las brechas de datos que, aunque ocurridas en el pasado, siguen circulando en bases de datos ilegales.

En 2023, por ejemplo, más de 3.200 millones de credenciales fueron robadas, y el 75% de ellas mediante malware tipo infostealer, diseñado para recolectar nombres de usuario y contraseñas guardadas en navegadores o sistemas no protegidos.

¿Qué pueden hacer con una cuenta olvidada?

El riesgo no se limita al acceso a esa única cuenta. En manos equivocadas, una credencial inactiva puede ser usada para:

– Enviar spam, estafas o ataques de phishing a los contactos del titular.

– Extraer información personal o datos financieros almacenados.

– Vaciar fondos en cuentas digitales activas, como billeteras cripto o bancos.

– Vender la cuenta en mercados ilegales si tiene beneficios como puntos, millas o acceso a servicios premium.

Ingresar a sistemas empresariales, como sucedió con Colonial Pipeline (EE.UU., 2021), donde una cuenta VPN inactiva fue el punto de entrada para un ataque de ransomware que paralizó el suministro de combustible.

Incluso instituciones públicas han sido blanco por este motivo.

En Londres, un ataque de ransomware en 2020 se originó por una contraseña débil asociada a una cuenta inactiva del sistema del ayuntamiento de Hackney.

Una amenaza para las empresas

En el caso corporativo, el impacto puede ser devastador.

Las cuentas sin monitoreo activo pueden convertirse en trampas abiertas al espionaje industrial, robo de datos sensibles o chantajes económicos.

Por ello, cada vez más empresas, incluidos gigantes como Google, Microsoft o la red social X (antes Twitter), han implementado políticas para eliminar automáticamente cuentas inactivas tras determinado tiempo.

La medida no solo ahorra costos de almacenamiento, sino que también reduce la superficie de ataque.

¿Qué hacer para protegerse?

ESET ofrece varias recomendaciones para mantener la seguridad digital bajo control:

Auditoría digital periódica: Buscar en el correo electrónico palabras clave como “verifica tu cuenta”, “gracias por registrarte” o “prueba gratuita” para identificar registros antiguos.

Revisar gestores de contraseñas y navegadores: Eliminar o actualizar contraseñas vinculadas a servicios que ya no se utilizan.

Eliminar las cuentas que no se necesitan: No basta con dejar de usarlas, hay que cerrar la cuenta y asegurarse de que los datos hayan sido eliminados.

Evitar la creación innecesaria de cuentas: Evaluar si realmente se necesita una cuenta nueva o si es posible usar funciones sin registro.

Y para las cuentas que sí conservas…

– Utiliza contraseñas robustas y únicas.

– Activa la autenticación de dos factores (2FA).

– Nunca accedas a cuentas sensibles desde redes wifi públicas sin una VPN.

– No caigas en mensajes de phishing: desconfía de correos que presionen para actuar rápido o prometan recompensas inusuales.

El mensaje es claro: una limpieza digital anual puede hacer una gran diferencia.

No se trata solo de mejorar el orden o reducir el desorden digital.

Se trata de proteger la privacidad, la información financiera, los datos corporativos e incluso la reputación personal o empresarial.

“Muchas veces basta con una cuenta olvidada para que todo el ecosistema de seguridad se venga abajo”, concluye Camilo Gutiérrez.

“Hacer limpieza digital no es una tarea opcional: es una necesidad”.

Comments