Con el paso del tiempo es habitual acumular cuentas de correo y perfiles en redes sociales que ya no se usan; muchas veces ignoramos que siguen activas y suponen un riesgo para nuestra seguridad.
Estos perfiles inactivos pueden ser objetivo de ciberdelincuentes, que los aprovechan para atacar tanto a personas como a empresas cuando nadie supervisa su estado.
Qué pasa con las cuentas olvidadas de correo y redes sociales
En promedio, una persona llega a gestionar unas 168 contraseñas a lo largo del tiempo. Muchas corresponden a servicios probados de forma puntual, aplicaciones utilizadas una vez o suscripciones temporales. Al desaparecer la necesidad original, esas cuentas suelen quedar inactivas y acaban olvidadas.
El riesgo principal deriva de la cantidad de datos personales almacenados en esas cuentas: direcciones de correo, contraseñas, fechas de nacimiento, nombres reales, direcciones físicas y, en algunos casos, información bancaria o listas de contactos.
Si un atacante accede a una cuenta inactiva puede suplantar a su titular, cometer fraudes, lanzar campañas de phishing o, cuando la cuenta está vinculada a servicios financieros, intentar vaciar fondos.
Google advierte que las cuentas inactivas tienen más probabilidades de ser comprometidas y que sus credenciales suelen reaparecer en filtraciones históricas. Además, estas cuentas tienden a tener medidas de seguridad más débiles: según la empresa, “tienen al menos 10 veces menos probabilidades que las activas de tener configurada la verificación en dos pasos”.
El interés de los atacantes por estas cuentas queda patente en el auge de herramientas como el malware Infostealer, diseñado para robar credenciales. Solo en el último año se estimó el robo de más de 3.200 millones de credenciales, en gran parte por este tipo de malware.
La reutilización de contraseñas facilita además los ataques de credential stuffing, en los que los delincuentes prueban automáticamente combinaciones de usuario y contraseña en múltiples servicios hasta encontrar accesos válidos.
El problema no afecta solo a usuarios individuales: las cuentas empresariales inactivas pueden dar acceso a información confidencial de una organización. El ataque de ransomware a Colonial Pipeline en 2021, que se inició con el compromiso de una cuenta VPN inactiva, muestra el daño que puede causar el descuido de estos accesos.
Cómo evitar los riesgos de las cuentas olvidadas
Ante este panorama, empresas y usuarios deben tomar una postura proactiva. Algunos proveedores, como Google, Microsoft y X (antes Twitter), han empezado a cerrar automáticamente cuentas inactivas pasado un tiempo, pero la responsabilidad principal recae en cada usuario.
ESET recomienda realizar auditorías periódicas para identificar cuentas olvidadas. Una técnica útil es buscar en la bandeja de entrada palabras clave como “Bienvenido”, “Verificar cuenta”, “Prueba gratuita”, “Valida tu cuenta” o “Gracias por registrarte”.
También conviene revisar los registros de gestores de contraseñas y las contraseñas guardadas en navegadores, eliminando o actualizando aquellas que ya no se utilicen.
Al encontrar una cuenta inactiva, primero hay que comprobar la política de eliminación del proveedor para asegurarse de que los datos personales y financieros se borrarán de forma definitiva al cerrarla. Si el servicio ha desaparecido o no ofrece una opción clara de eliminación, se recomienda borrar manualmente todos los datos personales y las listas de contactos asociados.
Para las cuentas que se deseen conservar, es fundamental actualizar la contraseña por una única y robusta, guardarla en un gestor de contraseñas seguro; activar la autenticación de dos factores (2FA) para añadir una capa extra de protección; evitar acceder a cuentas sensibles desde redes Wi‐Fi públicas salvo que se use una VPN; desconfiar de mensajes de phishing y no pulsar enlaces en correos o mensajes no solicitados que urgieran a actuar; y revisar periódicamente las aplicaciones y sitios vinculados a servicios como Google, Microsoft, Apple o Facebook, eliminando los que ya no se utilicen.
