Un problema muy del siglo XXI, que debería recibir más atención, es la vulneración de cuentas en las redes sociales. Es decir, cuando no puedes acceder a tu perfil en plataformas como Instagram o Facebook, porque te lo han hackeado o ‘robado’.

Además del momento incómodo y frustrante, por no poder acceder a las cuentas, por la posible pérdida de sus publicaciones y de su comunidad digital (importante para influencers y creadores de contenido), hay situaciones muchísimo más peligrosas, nota Christian Valle, especialista en ciberseguridad, más conocido como Mr. Link.

“Los peligros más representativos son estafas a clientes o seguidores, motivándolos a comprar criptomonedas o algún servicio que termina en estafa”, explica este experto. “También, otro de los peligros más frecuentes es suplantar la identidad, haciéndose pasar por dichas marcas o creadores para captar más cuentas vulneradas y así poder seguir con la cadena de estafas”.

Publicidad

Vectores de ataque de los cibercriminales

“El robo de cuentas en redes sociales se ha convertido en una epidemia digital que afecta a millones de usuarios, transformando sus perfiles personales y profesionales en herramientas para estafas, desinformación y usurpación de identidad”, reflexiona Iván Reyes, coordinador académico de posgrados de la Universidad Internacional del Ecuador.

El camino o método que un atacante emplea para acceder a un sistema, red o aplicación, con el objetivo de realizar acciones maliciosas, se llama vector de ataque.

Foto: Shutterstock. Foto: Shutterstock

El phishing está en el top 1 de Ecuador en vectores de ataque, alerta Valle. Se trata del ataque cibernético con el cual los delincuentes se hacen pasar por entidades legítimas (bancos, empresas) para engañar a las personas y obtener información confidencial, como contraseñas, datos bancarios o información personal.

Publicidad

Para eso, los cibercriminales envían a sus víctimas mensajes que alertan sobre un “problema de seguridad” o una “verificación de cuenta” y los incita a hacer clic en un enlace malicioso donde, sin saberlo, les entregarán su usuario y contraseña. Por ejemplo, dice Reyes, la persona recibe un correo que aparenta ser de Instagram, indicando que su cuenta será suspendida si no verifica tu identidad en las próximas 24 horas. El enlace lo dirige a una página idéntica a la de Instagram, pero que es una trampa con la que atrapan sus datos.

“Cada día llegan miles de mails con ataques de spear phishing (ataque personalizado) suplantando gerentes de empresas, marcas o instituciones publicas o privadas", añade el especialista Valle.

Publicidad

No es el único vector de ataque, ilustra Reyes. Los otros son ingeniería social, malware (como keyloggers) y SIM swapping.

La primera se refiere a una técnica basada en el engaño y la manipulación. “Los atacantes pueden hacerse pasar por un amigo en apuros, un representante de soporte técnico o incluso un reclutador de empleo. Su objetivo es ganarse tu confianza para que les reveles información sensible, como códigos de seguridad o respuestas a preguntas de recuperación”, aclara Reyes.

El malware es cualquier programa o software diseñado para infiltrarse en sistemas informáticos con fines nefastos. “A través de la descarga de software pirata, aplicaciones no oficiales o archivos adjuntos infectados, los delincuentes pueden instalar un malware en tus dispositivos. Un tipo particularmente peligroso es el keylogger, un programa que registra cada pulsación que realizas en tu teclado, incluyendo tus contraseñas, y se las envía al atacante”, dice Reyes.

El SIM swapping no es otra cosa que el ‘secuestro’ del número de teléfono. “Este es un ataque más sofisticado. El delincuente contacta a tu proveedor de telefonía móvil y, utilizando información personal tuya que ha recopilado previamente, los convence de transferir tu número de teléfono a una tarjeta SIM que él controla”, revela Reyes. Una vez que obtiene el número de la víctima, puede interceptar los códigos de verificación enviados por SMS (mensajes de texto) para la autenticación de dos pasos y así restablecer sus contraseñas y tomar control total de sus cuentas.

Publicidad

“Tener en cuenta que una cuenta vulnerada abre puertas a que más personas sean vulneradas. Muchos minimizan el riesgo diciendo ‘yo tengo pocos seguidores’ o ‘no tengo nada en la cuenta bancaria’, pero recordar que ahora los cibercriminales también están en las bandas delictivas recopilando información sensible para cometer secuestros y extorsiones en Ecuador”, advierte Mr. Link y pide a todos que no minimicen el riesgo de ser vulnerados, porque es grande.

Ejemplo de un mensaje de texto con un enlace fraudulento.

Qué hacer cuando mis redes sociales han sido vulneradas

Las cuentas vulneradas se pueden recuperar dentro de las primeras 24 horas después de una vulneración, asegura Christian Valle. Todo depende de la configuración de seguridad que haya tenido antes de ser vulnerados.

“Recordar que las cuentas hackeadas se pueden recuperar con los códigos de recuperación o siguiendo los pasos de recuperación que dan las plataformas, como hacer una validación mediante videoselfi. Al final todo dependerá de cómo haya estado configurada dicha cuenta”.

Qué hacer para evitar que mis redes sociales sean vulneradas

La prevención es clave, dice el coordinador Iván Reyes. Para minimizar drásticamente los riesgos aconseja aplicar lo que llama ‘contraseñas de acero’ en redes sociales y otras plataformas.

Las contraseñas son pieza clave de la vida digital, por lo tanto, es importante cerciorarse de crear contraseñas fuertes y seguras.

“Utiliza una contraseña diferente para cada una de tus cuentas. Debe tener al menos doce caracteres y combinar letras mayúsculas, minúsculas, números y símbolos, ejemplo: Tr!l0g1a&F@ntast1ca?”, resalta Reyes. No uses información personal, como fechas de nacimiento, nombres de mascotas o secuencias simples".

Además, considera usar un gestor de contraseñas (como Bitwarden, 1Password o el integrado en tu navegador) para generar y almacenar contraseñas robustas y de forma segura.

Un hábito vital para la ciberseguridad es la autenticación de dos factores (2FA) o dos pasos en todas sus cuentas. “Esta es una capa de seguridad crucial que requiere un segundo código (generalmente enviado a tu teléfono a través de una aplicación de autenticación como Google Authenticator o Microsoft Authenticator), además de tu contraseña para iniciar sesión. Es la medida de seguridad más efectiva que puedes tomar”, afirma Reyes.

Configurar la privacidad en redes también es un gran escudo. Configura tus perfiles como privados o limita la audiencia de tus publicaciones a “Solo amigos”, para limitar quién ve tus publicaciones. Además, es aconsejable controlar la información de tu perfil. “No hagas pública información sensible, como tu número de teléfono completo, dirección de casa o fecha de nacimiento”, aconseja Reyes.

Evite utilizar la misma contraseña para abrir todas sus cuentas y tan solo ingrese a portales seguros.

Una clave en ciberseguridad es desconfiar y verificar, añade Reyes. Antes de hacer clic en cualquier enlace que nos compartan, pasa el cursor sobre él para ver la URL real. Si parece sospechosa, no hagas clic. Desconfía de los mensajes urgentes o amenazantes. Ninguna red social legítima te pedirá tu contraseña por correo o mensaje directo.

Lo anterior surge de un término llamado zero trust, que parte del principio de “nunca confiar, siempre verificar”, aporta Valle. “Esto nos indica que cualquier mensaje, llamadas desconocidas son una posible amenaza. Lo ideal es tratar todo tipo de contacto como una amenaza y validarlo constantemente aun siendo un contacto de confianza”.

En ese sentido también vale recalcar tener cuidado con las wifi públicas. Lo mejor es evitar iniciar sesión en tus cuentas o realizar transacciones sensibles cuando estés conectado a redes de wifi públicas y no seguras. Usa una VPN si es necesario, recomienda Reyes.

En el 'Top 20 de malware' Ecuador ocupa el puesto 89.

El conocido Mr. Link nos ofrece otras recomendaciones:

  • Siempre usar el sentido común. “A muchas marcas y creadores de contenido nos llegan mensajes directos de marcas que no existen o suplantan a otras, para trabajar con ellos, el cual terminan vulnerando las cuentas”, comparte Valle.
  • Cambiar contraseñas frecuentemente cada seis meses mínimo y que jamás sean las mismas contraseñas para todas las redes sociales. En caso de tener mala memoria usar gestores de contraseñas (como los mencionados), el cual hace el trabajo de recordarlas, pero de manera segura.
  • Tener activado en todas las redes sociales la verificación en dos pasos con token de códigos sea Authy o Duo Mobile. También se pueden adicionar llaves físicas de seguridad y, en el peor de los casos, códigos vía SMS (mensaje corto por teléfono). Jamás la verificación en dos pasos debe ser vía mail.
  • Toda red social tiene códigos de recuperación, en caso de emergencias por olvido de accesos o vulneración. Así pueden recuperar sus cuentas fácilmente.
  • Por último, seguir cuentas de especialistas en ciberseguridad en Ecuador o capacitarse al menos un año en temas de ciberseguridad.

“Recordar que las amenazas van evolucionando día tras día, la mejor arma siempre es estar informado. Aunque nada es 100 % seguro, la prevención baja el riesgo de ser vulnerado”, puntualiza Valle.

Asimismo, concluye Reyes, asegurarse de que el sistema operativo de tus dispositivos y aplicaciones (incluyendo los navegadores) estén siempre actualizados a la última versión para protegerte de las últimas vulnerabilidades de seguridad.

“Tomar en serio la seguridad de tus redes sociales no es paranoia, es una necesidad en el mundo interconectado de hoy” reflexiona Reyes. Al implementar estas estrategias, afirma, estarás un paso delante de los ciberdelincuentes y podrás disfrutar de tu vida digital con mayor tranquilidad. (I)