Por qué no deberías reutilizar tus contraseñas

5 Dic 2018

Utilizar la misma contraseña en todas nuestras cuentas puede resultar muy cómodo, es cierto, pero es una práctica que puede conllevar graves consecuencias para nuestra seguridad en Internet. Analicemos el caso del joven diseñador Marcos.

Marcos es un chico normal y corriente. Tiene una dirección de correo electrónico, una cuenta en Facebook, Instagram, Amazon, eBay, Steam y Battle.net, por no hablar de las otras cuentas que abrió en las decenas de tiendas online y en foros dedicados a su videojuego favorito. Todas estas cuentas están vinculadas a su correo electrónico.

Resulta que un día la base de datos de una de las tiendas online en las que Marcos había creado una cuenta, sufrió una fuga de datos (la base de datos se encontraba en un servidor de acceso libre y no estaba cifrada). No robaron datos de tarjetas de crédito, pero sí los correos electrónicos, los nombres de los clientes, las contraseñas de sus cuentas, etc. A simple vista, no parece que haya de qué preocuparse. Las fugas de datos de este tipo pueden ocurrir y estamos hablando de una pequeña tienda online, por lo que no sorprende que su propietario no sea un experto en seguridad informática, ¿verdad?

Desafortunadamente, los cibercriminales pensaron lo siguiente: ¿y si tenemos suerte y alguien ha utilizado la misma contraseña también para su correo electrónico? Pues, acertaron, ya que Marcos utilizaba la misma contraseña para todas sus cuentas, dejando así las puertas abiertas a su correo, donde los cibercriminales no solo encuentran las fotos que Marcos envió a Lucía, sino también los mensajes que recibió desde Amazon, eBay y otras empresas. ¿Y si utilizaba Marcos la misma contraseña en estas cuentas también?, se preguntan los cibercriminales. Intentaron acceder a su cuenta de Amazon y… ¡bingo! Misma contraseña aquí también.

Después de encontrar la tarjeta de crédito vinculada a la cuenta de Amazon, los cibercriminales compraron un par de iPhone Xs y, entonces, se pasaron a Facebook, donde pidieron dinero a los amigos de Marcos con el siguiente mensaje: “Chicos, necesito que me prestéis dinero. Os lo devuelvo mañana que cobro, lo prometo”. Algunos amigos cayeron en la trampa y enviaron el dinero, creyendo que fue Marcos el que envió el mensaje, no obstante, el dinero llegó directamente a los bolsillos de los cibercriminales.

Pero esto no acaba aquí. Los intrusos modificaron las contraseñas de cada cuenta a la que habían podido acceder, es decir, en el caso de Marcos, todas.

Uno de los amigos de Marcos en Facebook se percató de que algo no cuadraba y le llamó para asegurarse de si había sido él el que había pedido el dinero por Facebook. Desconcertado, Marcos encendió inmediatamente su ordenador para modificar la contraseña de Facebook, pero no pudo, ya que los cibercriminales ya se habían encargado de echarlo de su propia cuenta. Intentó restaurar la contraseña por correo electrónico, pero tampoco pudo acceder, pues también habían cambiado la contraseña.

Ahí fue cuando Marcos se dio cuenta de que le habían hackeado todas sus cuentas. Llamó al banco, bloqueó todas sus tarjetas de crédito e intentó desesperadamente modificar las contraseñas de los pocos servicios que todavía seguían intactos y, mientras, hablaba con sus amigos para explicarles que no fue él quien les pidió el dinero. Por cierto, tuvo que disculparse también con esos amigos que ya le habían enviado dinero, asegurándoles que se lo devolvería cuanto antes.

Por último, Marcos se prometió a sí mismo que nunca más volvería a utilizar la misma contraseña para diferentes servicios y que activaría la autenticación de doble factor siempre que fuera posible para garantizar la protección de los datos en Internet.