De vez en cuando recibo una solicitud de amistad en las redes sociales de atractivas mujeres con poses sugerentes como foto de perfil. No estoy presumiendo de esto, la persona detrás de esa cuenta muy probablemente no se parezca a la de la foto. Muchas veces son cuentas secuestradas usadas por los ciberdelincuentes para explotar tus deseos.
Hoy voy a compartir una historia con vosotros sobre como hackers utilizaron datos filtrados sobre mí para piratear mi cuenta de Instagram.
En abril de 2012, se lanzó la app de Instagram para Android. Cuando la popularidad de la app creció, me conecté y subí una única foto para ver en qué consistía. Entonces eliminé la app y no me volví a conectar hasta 2015.
Cuando me volví a conectar, puede comprobar que miles de personas desconocidas seguían mi cuenta. Si, señores y señoras, puede que alguna vez fuera una atractiva chica realizando una pose sugestiva para atraer a seguidores.
Tenía millones de preguntas rondándome la cabeza sobre cómo pudo haber ocurrido. En 2015 mi carrera en seguridad informática estaba comenzando, y para ahorrarme la vergüenza de tener una cuenta hackeada, inmediatamente cambié de contraseña y dejé de seguir a todas las cuentas que no conocía.
Cuatro años después creo que sé lo que ocurrió. Como informamos a menudo, las empresas sufren filtraciones de datos, estas filtraciones pueden incluir datos como contraseñas y direcciones de correo electrónico. Entre 2012, cuando comenzó Instagram y 2015 cuando volví a la red social, hubo muchas filtraciones graves como Yahoo, Adobe, eBay, JP Morgan, LinkedIn and Target.
Es muy probable que quienquiera que entrara en mi cuenta inactiva de Instagram utilizara un método conocido como relleno de credenciales (credential stuffing).
El relleno de credenciales es cuando un hacker utiliza las contraseñas de una filtración en una empresa A para conectarse a los servicios de una empresa B. Esto se basa en la posibilidad que la víctima (yo) reutilizara su contraseña.
Ahora sé lo que estás pensando: “pero Matt ¿no tienes una contraseña distinta para cada cuenta?”. Bueno, ahora sí. Pero el Matt de 2012 no estaba tan formado en seguridad informática como el de ahora.
Mis consejos
¿Cómo saber si una cuenta en Instagram o en cualquier otra red social ha sido comprometida?
Si detectas que hay mucha gente que no conoces que empieza a seguirte en Instagram, que ha cambiado tu foto de perfil sin que lo supieras o que tu bio pone “Haz clic aquí para un chat privado” o algo igual de sugerente, entonces puede que te hayan hackeado.
Instagram te recomienda que cambies de contraseña inmediatamente y que revoques las autorizaciones a apps de terceros sospechosas.
Independientemente de si han pirateado o no tu cuenta, estos son mis consejos para mejorar la seguridad en tus redes sociales:
- No reutilices tu contraseña en varios servicios. Puedes emplear un gestor de contraseñas. Generará y guardará una única contraseña para cada página en la que te des de alta.
- Activa la autenticación en dos pasos. Instagram como muchas otras plataformas permite la autenticación en dos pasos, de manera que no tengas que depender únicamente de tu contraseña.
- Borra la cuenta no solo la app. Si has decidido que tu experiencia con una app ha terminado, no borres solo app como yo hice. Descubre como borrar una cuenta y hazlo también.
Matt Boddy, Ingeniero Preventa de Sophos UK, es el autor de esta entrada. Puedes leer el original en inglés aquí.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario