La seguridad en las suscripciones: cómo proteger tu cuenta, tu cartera y tu cordura

¿Alguna vez has intentado calcular cuánto gastas al mes en suscripciones? Streaming, música, películas, videojuegos, cursos de idiomas, servicios de reparto a domicilio, asientos con calefacción e incluso la posibilidad de chatear con el bot Grok directamente desde tu coche: hoy en día, hay una suscripción para casi todo. Incluso hay un servicio de suscripción diseñado específicamente para rastrear tus otras suscripciones.

La cantidad de suscripciones varía considerablemente dependiendo del lugar de residencia. Pero, según las estadísticas, el 78 % de los adultos de todo el mundo tiene al menos una suscripción de pago, y el usuario promedio gestiona una media de 5,6 servicios activos. Además, una gran parte de estas suscripciones son planes familiares que utilizan los grupos de parientes cercanos y, en ocasiones, otras personas: el 37 % de los usuarios comparte sus suscripciones con personas ajenas a su familia inmediata.

Dado que las cuentas de suscripción, especialmente los planes familiares, suelen contener datos personales que son confidenciales, se han convertido en un objetivo apetecible para los ciberdelincuentes. Hoy analizaremos cómo administrar tus suscripciones de forma segura, evitar que tus cuentas se vean vulneradas y no caer en los nuevos trucos de los estafadores.

La seguridad de las cuentas compartidas y las suscripciones

¿Por qué alguien querría hackear tu suscripción? Aunque el servicio solo ofrezca entretenimiento, es casi seguro que tu cuenta contiene información confidencial: tu nombre, dirección, correo electrónico, número de teléfono, los nombres de otros miembros y otra información de identificación personal. Estos datos, posteriormente, se venden en la dark web y se utilizan para llevar a cabo nuevos ataques.

Los atacantes acceden a cuentas de suscripción ya sea mediante ingeniería social y phishing, o aprovechando la confianza de muchos usuarios en sus contraseñas débiles o filtradas. Como destacamos recientemente en nuestra investigación, casi la mitad de todas las contraseñas del mundo pueden descifrarse en menos de un minuto. Luego, los estafadores revenden las suscripciones existentes o los cupos en un grupo familiar con descuento, o bien registran a la víctima en nuevos servicios, con la esperanza de que los cargos adicionales pasen desapercibidos.

Por último, algunos intermediarios ni siquiera se molestan en piratear; simplemente compran suscripciones al por mayor para un gran número de dispositivos, en las que el coste por unidad suele ser mucho más bajo. Luego, revenden los cupos individuales de estos planes en marketplaces en línea. Como resultado, una sola cuenta “familiar” puede terminar llena de personas que son completamente desconocidas entre sí.

Intercambio de suscripciones con familiares y otras personas

Muchos titulares de suscripciones no le dan importancia a compartir el acceso con familiares y amigos. ¿Qué podría salir mal?

Desde el punto de vista de la seguridad, el peor escenario posible es cuando se compra una sola cuenta y el titular comparte el nombre de usuario y la contraseña con otros usuarios. Esto suele ocurrir cuando las personas intentan ahorrar dinero en un plan familiar con la compra de una suscripción individual para luego compartirla. Algunos servicios incluso permiten crear perfiles diferentes, pero todos están vinculados a una sola cuenta, lo que significa que se comparten las credenciales. Así es como funcionan algunas plataformas de streaming, por ejemplo, Hulu y Disney+.

Compartir una cuenta entre varias personas aumenta considerablemente el riesgo de que tus credenciales caigan en las manos equivocadas. No hay forma de garantizar que el resto de los usuarios guarden esos datos de forma segura o que sus dispositivos no estén infectados con malware. Incluso sin malware, es increíblemente fácil revelar de manera accidental una contraseña a los atacantes con solo iniciar sesión en el servicio de suscripción a través de una red Wi-Fi pública y desprotegida.

Hay una gran posibilidad de que la contraseña que tan amablemente has compartido a algunos amigos ya haya aparecido en algún rincón de la dark web, y es probable que pronto pierdas el acceso a tu cuenta. Además, si reutilizas la misma contraseña en diferentes sitios web y aplicaciones, tus otras cuentas también están ahora en el punto de mira.

El segundo escenario es cuando cada miembro del grupo tiene una cuenta individual. Hoy en día, muchos servicios permiten añadir usuarios adicionales a una suscripción sin coste extra, y la mayoría de los titulares están encantados de regalar estos cupos gratuitos. Aun así, no debes bajar la guardia: la vulneración en la seguridad de una sola de estas cuentas puede dar lugar a la filtración de información confidencial, como los nombres de los familiares, las direcciones, los datos de facturación y otros datos relacionados con la suscripción.

Cómo proteger tus suscripciones (y tu cartera)

Para proteger la privacidad de tus datos personales y los de tus seres queridos, además de mantener el control sobre tus cuentas, sigue estas reglas sencillas.

Aplica medidas de seguridad sólidas a tus cuentas

Para lograr esto, aprende (y enséñales a tus amigos y familiares) a utilizar administradores de contraseñas, la autenticación de dos factores o llaves de acceso.

Si tú y tus seres queridos confiáis en la memoria para recordar las contraseñas, es muy probable que estéis utilizando la misma contraseña en varios servicios. Esto es un grave error: las filtraciones de datos ocurren constantemente, y basta con que una sola contraseña sea comprometida para que los atacantes puedan acceder a tus otras cuentas.

La solución más sencilla es utilizar un administrador de contraseñas que genere y recuerde, en tu nombre, contraseñas complejas y únicas para cada sitio web y servicio. Lo único que tienes que hacer es recordar la única contraseña principal para acceder a su almacén cifrado. Además, Kaspersky Password Manager no solo almacena y crea contraseñas, sino que también puede comprobar si han aparecido en bases de datos filtradas y sincronizar tus credenciales en todos tus dispositivos.

Además, un gestor de contraseñas ofrece una protección eficaz contra el phishing: a diferencia de una persona, que puede dejarse engañar fácilmente por un formulario de inicio de sesión que parece casi idéntico al auténtico y está alojado en un dominio similar, un gestor de contraseñas no caerá en la trampa. Solo te ofrecerá rellenar automáticamente el nombre de usuario y la contraseña guardados en el sitio web o servicio específico para el que se almacenaron originalmente.

Evita guardar tus contraseñas en los navegadores: por desgracia, los atacantes ya saben cómo extraer las contraseñas guardadas en el navegador en cuestión de segundos.

La autenticación de dos factores (2FA) es una capa adicional de verificación que el sistema solicita después de introducir la contraseña, como un código SMS o un código de un solo uso de una aplicación de autenticación. Siempre que sea técnicamente posible, asegúrate de activar la 2FA en todas las cuentas vinculadas a una suscripción. Esto se aplica tanto a los propios servicios de suscripción como a cualquier cuenta de terceros que utilices para iniciar sesión, como Google, Apple o Facebook.

Te recomendamos que guardes tus tokens de autenticación de dos factores y que generes los códigos de un solo uso (que se actualizan cada 30 segundos) dentro de Kaspersky Password Manager. Esto reduce de manera considerable las probabilidades de que alguien se apropie de tu cuenta. Incluso si un atacante descubre o adivina tu contraseña de alguna manera, no podrá obtener el código sin tener acceso físico a tu dispositivo.

Por último, puedes prescindir (casi) por completo de las contraseñas si decides utilizar llaves de acceso. Ya hemos hablado anteriormente de cómo es esta alternativa a las contraseñas y de los detalles de su uso. Actualmente, este es el sistema de autenticación más resistente a las filtraciones que existe. Su principal desventaja ha sido la dificultad de sincronizar las llaves de acceso entre diferentes ecosistemas, como Windows y iOS. Pero la versión actualizada de Kaspersky Password Manager ahora puede guardar y sincronizar las llaves de acceso en dispositivos Windows, macOS, iOS y Android, lo que hace que ese problema sea cosa del pasado.

No pases por alto la seguridad del dispositivo

Ni siquiera contar con una contraseña compleja ni utilizar la 2FA son motivos para bajar la guardia. Un atacante puede infectar tu dispositivo con un “infostealer”: un malware diseñado para robar datos como las cookies de sesión de tu navegador, los archivos de configuración de las aplicaciones y otros datos confidenciales. Las cookies de sesión te permiten mantenerte conectado sin tener que volver a introducir tus credenciales cada vez; sin embargo, si los estafadores las consiguen, pueden iniciar sesión en el servicio haciéndose pasar por ti, incluso sin conocer tu nombre de usuario o contraseña. Es por esto que es esencial adoptar un enfoque proactivo, especialmente si utilizas Chrome, Edge, Opera u otros navegadores basados en Chromium en Windows. Te recomendamos instalar Kaspersky Premium en todos tus dispositivos; incluye Kaspersky Password Manager, además de una protección integral contra las ciberamenazas.

Solo comparte las suscripciones con personas de confianza

De lo contrario, podrías meterte en problemas. Por ejemplo, si compartes una suscripción de Steam con un amigo que hace trampa, podrían bloquearos las cuentas a los dos. Además, nunca permitas que otra persona acceda a tu cuenta personal o a tu suscripción individual. Compartir tu contraseña con otras personas suele constituir una infracción de las condiciones del servicio y puede dar lugar al bloqueo de tu cuenta.

Asegúrate de que no haya desconocidos en tu grupo familiar

Para ello, comprueba periódicamente los dispositivos y las sesiones activos en la configuración de tu suscripción. Si ves un dispositivo desconocido en la lista de dispositivos autorizados, cierra esa sesión (o todas) y cambia la contraseña de tu cuenta inmediatamente. Volver a iniciar sesión en unos pocos dispositivos es mucho más fácil que intentar recuperar una cuenta secuestrada.

Y recuerda: no dejes que tus propios hábitos pongan en riesgo tu seguridad. Si estás visitando a amigos, de vacaciones o en un viaje de negocios, y usas un ordenador local o un televisor inteligente (o si inicias sesión en tu cuenta desde un ordenador público), no olvides cerrar la sesión cuando hayas terminado. De lo contrario, la siguiente persona que utilice ese dispositivo podría encontrarse con suscripciones gratuitas o, lo que es peor, tener acceso a tu correo electrónico o a tu galería de fotografías en la nube.

No muerdas el anzuelo

Ten cuidado con los correos electrónicos de phishing y los mensajes que se hacen pasar por servicios legítimos. Si recibes una notificación que indica que “es necesario actualizar tus datos de facturación” o un aviso de que “se ha añadido un nuevo usuario” a tu plan familiar, no te apresures a hacer clic en ningún enlace ni a abrir archivos adjuntos. Los enlaces pueden llevarte a una página de phishing, y los archivos adjuntos pueden ocultar malware. Los estafadores suelen usar direcciones de correo electrónico y dominios que parecen casi idénticos a los verdaderos; por ejemplo, sustituyen la l (L minúscula) por la I (i mayúscula) o utilizan un nombre conocido en una zona de dominio diferente.

Lamentablemente, las páginas de phishing suelen ser indistinguibles de las originales ahora que se utiliza la IA para crear diseños y maquetaciones de alta calidad. Dado que cada vez es más difícil detectar por uno mismo todas las señales de alerta, lo mejor es delegar la protección antiphishing a Kaspersky Premium, que te avisará de los sitios sospechosos, lo que te permitirá ahorrar dinero y mantener la tranquilidad.

Por último, algunos estafadores atraen a los usuarios con obsequios como suscripciones de regalo falsas a Telegram Premium. Se le pide a la víctima que visite una página de phishing que imita la pantalla de inicio de sesión de Telegram y que ingrese a su cuenta para reclamar el regalo. El resultado no es difícil de adivinar: en lugar de una suscripción premium, se trata de una cuenta secuestrada. Recientemente, los estafadores han llegado incluso a usar miniaplicaciones para robar credenciales directamente dentro de Telegram con diversos pretextos, que van desde sorteos de regalos hasta avisos de que debes cambiarte a un nuevo chat porque el antiguo ha sido bloqueado.

Evita comprar suscripciones a terceros

A menudo se pueden encontrar ofertas de suscripción en marketplaces y plataformas de venta minorista a precios considerablemente más bajos que los que cobra el proveedor oficial. Lo más probable es que ese precio tan tentador esconda una cuenta hackeada o un grupo familiar del que podrían expulsarte en cualquier momento, ya que el administrador del grupo es el propio vendedor o un usuario cualquiera. Además, compartir un plan familiar con desconocidos de todo el mundo supone una infracción de las condiciones de uso de muchos servicios.

Cómo deshacerse de las suscripciones no deseadas

Ahora que ya hemos hablado de la seguridad de las suscripciones, ¿qué pasa con esas suscripciones adicionales que, sin que te des cuenta, consumen tu saldo cada mes? Los estudios demuestran que los usuarios suelen subestimar la cantidad de suscripciones activas que tienen y cuánto gastan en ellas. Además, a menudo se olvidan de cancelar las renovaciones automáticas de las suscripciones que ya no utilizan, o los cobros automáticos después de que finaliza el período de prueba.

Si sospechas que te encuentras en esa situación, empieza a investigar tus propios extractos bancarios. Los cargos recurrentes por el mismo importe pueden corresponder a una suscripción de la que te has olvidado. Comprueba quién ha recibido el pago; si el nombre no te suena, busca la empresa en Internet. También vale la pena buscar en tu bandeja de entrada el nombre del comerciante o el importe del pago; esto puede ayudarte a rastrear las notificaciones de suscripción y averiguar exactamente por qué estás pagando. Y no te olvides de revisar tu carpeta de spam, ya que es ahí donde suelen acabar las alertas de suscripción.

Ahora, veamos cómo consultar y cancelar las suscripciones activas adquiridas a través de la App Store y Google Play.

Para usuarios de Android

1. Abre Configuración en tu dispositivo.
2. Pulsa Google y, luego, tu fotografía de perfil. Después, ve a Cuenta de Google.
3. Ve a Cartera y suscripciones.

Si eres el administrador del grupo familiar, podrás ver el historial de compras de los demás miembros de la familia.

Para usuarios de iOS

1. Abre Configuración en tu dispositivo.
2. Pulsa tu fotografía de perfil en la parte superior del menú.
3. Ve a Suscripciones.

Nota: Para administrar tu suscripción a iCloud, tendrás que ir a la sección específica de iCloud situada justo debajo de Suscripciones. En la sección Compartir en familia, si eres tú quien la ha configurado, podrás ver el historial de suscripciones y compras de todos los miembros de la familia.

Lee más acerca de las suscripciones:

• Te han enviado un “regalo”: una suscripción a Telegram Premium
• Cómo compartir una suscripción sin lamentarlo
• Cómo controlar tus suscripciones y ahorrar dinero
• Los troyanos que te suscriben a aplicaciones de pago