La acumulación de cuentas digitales que ya no se usan puede convertirse en una vía de acceso para ataques informáticos. La empresa de ciberseguridad ESET advierte sobre los peligros y recomienda medidas prácticas para una limpieza digital efectiva.
En la era digital, abrir una cuenta en línea es tan común como pedir un café. Ya sea para probar una aplicación, acceder a una suscripción gratuita o registrarse en una tienda online, miles de personas acumulan perfiles digitales que, con el tiempo, terminan en el olvido. Lo que muchos no consideran es que esas cuentas inactivas pueden representar un riesgo de seguridad real.
ESET, compañía líder en detección proactiva de amenazas, ha lanzado una advertencia clara: las cuentas abandonadas son una puerta abierta para los ciberdelincuentes. “Hay muchas razones por las que puedes tener un gran número de cuentas olvidadas e inactivas”, señala Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
“Lo más probable es que te bombardeen a diario con ofertas especiales y nuevos servicios digitales. A veces, la única forma de comprobarlos es registrarse y crear una cuenta nueva. Pero somos humanos: nos olvidamos, nuestros intereses cambian con el tiempo y a veces no recordamos los inicios de sesión y seguimos adelante. A menudo es más difícil eliminar una cuenta que dejarla inactiva. Sin embargo, eso puede ser un error y representar un peligro para nuestra información”, agregó.
Las cifras son alarmantes. En promedio, una persona tiene unas 168 contraseñas asociadas a cuentas personales. Según Google, las cuentas que llevan mucho tiempo sin actividad tienen muchas más probabilidades de verse comprometidas. De hecho, este tipo de cuentas suelen carecer de configuraciones de seguridad básicas, como la autenticación en dos pasos, lo que las hace 10 veces más vulnerables que las activas.
Los ciberdelincuentes están al tanto de esta debilidad. Existen diversas técnicas para apropiarse de estas cuentas olvidadas. Entre las más utilizadas están los malware tipo “infostealer”, diseñados específicamente para robar datos de acceso. Solo en el último año, se robaron más de 3.200 millones de credenciales, y el 75% de ellas fueron obtenidas mediante este tipo de software malicioso.
Otras estrategias incluyen el credential stuffing (uso masivo de contraseñas filtradas para ingresar a otros servicios con las mismas credenciales), las filtraciones de datos a gran escala y las técnicas de fuerza bruta. El objetivo es claro: desbloquear cualquier cuenta que pueda dar acceso a información personal, financiera o incluso corporativa.
Las consecuencias pueden ser graves. Una cuenta personal inactiva puede utilizarse para enviar spam, ejecutar estafas, o realizar campañas de phishing haciéndose pasar por su antiguo dueño. También es común que se busque información almacenada, como datos bancarios o tarjetas, que pueden ser usadas para compras no autorizadas o fraudes de identidad.
En algunos casos, estas cuentas se venden directamente en la dark web. Si tienen algún valor agregado —por ejemplo, programas de fidelización o millas acumuladas— su precio puede ser alto. Incluso podrían estar vinculadas a criptowallets o cuentas bancarias. Según estimaciones en Reino Unido, más de 109.000 millones de dólares podrían estar en cuentas bancarias perdidas e inactivas.
El ámbito empresarial tampoco está exento. “Las cuentas inactivas de empresas también son un objetivo atractivo, ya que podrían facilitar el acceso a datos y sistemas corporativos confidenciales”, advierte Gutiérrez Amaya. El caso del ataque de ransomware a Colonial Pipeline en 2021 —que inició con una cuenta VPN inactiva— es un ejemplo contundente: provocó una gran escasez de combustible en la costa este de EE.UU. Otro caso emblemático fue el ataque al distrito londinense de Hackney en 2020, originado por una contraseña débil en una cuenta abandonada.
Para contrarrestar esta amenaza, algunas grandes tecnológicas como Google, Microsoft y X (antes Twitter), han empezado a cerrar automáticamente las cuentas que permanecen inactivas durante un largo tiempo. Esto ayuda a reducir costos, liberar recursos y mejorar la seguridad.
No obstante, desde ESET recomiendan adoptar una actitud proactiva. Aquí algunas de sus recomendaciones:
- Auditoría digital anual: Buscar en el correo electrónico términos como “Bienvenido”, “Gracias por registrarte” o “Verifica tu cuenta” puede ayudarte a identificar cuentas olvidadas.
- Revisar gestores de contraseñas o navegadores: Elimina accesos antiguos o actualiza credenciales débiles o filtradas.
- Consultar políticas de eliminación de cuentas: Asegúrate de que, al cerrar una cuenta, toda tu información se borre de forma definitiva.
- Evitar abrir cuentas innecesarias: Piensa dos veces antes de crear un nuevo perfil digital.
Para aquellas cuentas que sí se conservan, es clave reforzar su seguridad:
- Usar contraseñas fuertes y únicas, almacenadas en un gestor seguro.
- Activar la autenticación de dos factores (2FA) para añadir una capa adicional de protección.
- Evitar redes wifi públicas al acceder a cuentas sensibles, salvo que se use una VPN.
- Desconfiar de correos sospechosos: Nunca hagas clic en enlaces no solicitados ni respondas bajo presión de amenazas o urgencia artificial.
“Lo más probable es que la mayoría de nosotros tengamos docenas de cuentas inactivas esparcidas por Internet. Dedicar unos minutos al año a hacer limpieza puede hacer que tu vida digital sea un poco más segura”, concluye Camilo Gutiérrez Amaya.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
