¿Alguna vez necesitaste crear una cuenta «temporal» en algún servicio en el que no podías usar tu dirección de correo personal y decidiste usar esas casillas de correo de 10 minutos (que son geniales para algunas cosas)? Ok, para eso están. Pero yo que vos usaría siempre algún alias (varios servicios de mail permiten usar, al menos, uno) o alguna dirección a la que siempre puedas acceder.
Hoy se dió un caso para un artículo y por eso lo estoy escribiendo. Extrañamente recibí un mail de Instagram (red social que no utilizo) informando no viene al caso qué, con un enlace para cambiar la contraseña de la cuenta (en caso de que no haya sido yo quien hizo eso que no viene al caso). Así que cambié la contraseña del Instagram de, por ponerle un nombre, Juan.
El problema es que no solamente pude cambiar la contraseña así sin más sino que también me permitió ver toda la información almacenada en su perfil. Además me permitió cambiar el número de teléfono de Juan por el mío, habilitar la autenticación de factor múltiple, y quién sabe cuánto más podría haber hecho.
Afortunadamente Juan respondió los WhatsApp y ya tomó nuevamente el control de su cuenta.
-Por qué me hackeaste? me preguntó. Le comenté lo que viene pasándome desde hace algunos años. Recibo mails de varios lados (que no tienen nada que ver conmigo), desde bancos, asociaciones scout, mutuales y otros servicios online. Pensé en primer lugar que serían intentos de phishing (que alguno, entre tantos, podría ser). Así que, puesto que solo yo puedo acceder a [email protected], creo tener derecho a tomar alguna medida contra el que intenta abrir una cuenta en Spotify y cambiarle la contraseña (Sí, pasó una vez antes, pero no hubo respuesta de la otra parte). Esperaba que hubiera algún reclamo que nunca llegó.
Volviendo a Juan, después de explicarle mis motivos, le pregunté los suyos para usar una dirección de correo que no es la suya. Es muy joven (apenas 15). Estaba usando la dirección de su padre (Leandro Fuentes también) y fue ahí donde se produjo el error. Tenemos direcciones parecidas, que incluyen nombre y apellido, pero con algunas diferencias.
Ya habiendo despejado todas las dudas le di, como buen ciudadano que quiero ser, una serie de consejos para que no se vuelva a llevar otro susto así:
- Nunca uses una dirección de correo electrónico a la que no tengas SIEMPRE acceso.
- Nunca uses un número de teléfono que no uses, valga la redundancia.
- Usá un gestor de contraseñas para poder crear contraseñas fuertes.
- Habilitá la autenticación de dos pasos.
- No le digas tus contraseñas a nadie (pero si necesitás hacerlo, necesitarás ingresar también el código de a2f, y al terminar cerrá la sesión).
- Cambiá tus contraseñas con cierta regularidad (una o dos veces al año).
- Verificá regularmente las sesiones que están abiertas en otros dispositivos (los servicios más importantes permiten ver dónde se inició sesión, y cerrarlas si hiciera falta).
Más allá del susto de Juan se abre una serie de interrogantes sobre la seguridad de los servicios que usamos a diario (que para algunos pueden llegar a ser vitales). Preguntas que para muchos de nuestros lectores, si no todos, no suelen causar problema porque solemos mirar un poco más allá; pero que para alguien de quince años no es en absoluto imaginable. Preguntas, que si están respondidas, hay que buscarlas entre páginas interminables de Términos y Condiciones, o en páginas de «ayuda» que se hacen difícil y hasta imposible de entender para un usuario promedio.
Mi estimado Juan: Mis disculpas por haberte sorprendido de este modo, pero ¿de qué otra forma podrías haber llegado a tomar conciencia de esos errores de principiante? Te mando un saludo, y espero que no nos volvamos a «ver»
){kind=link}
Un vez me pasó que creé una cuenta de Yahoo Mail, y resultó que ese nombre de usuario ya había existido antes y que por alguna razón la cuenta había sido dada de baja, y aunque actualmente ya no sucede, en esa época Yahoo permitía volver a crear una cuenta con el mismo nombre de usuario.
A los pocos minutos se me llenó el buzón de entrada de correos de distintas páginas a las que el usuario anterior se había dado de alta, incluso de los Yahoo Groups (servicio recientemente extinto) a los que se había asociado, y tomé el control de un grupo que ese usuario anterior había creado.
Un asunto parecido sucede con el reciclaje de números de abonado de telefonía celular que llevan a cabo las compañías telefónicas. Una periodista conocida de Guatemala le pasó que, por seguridad, ella no usaba el mensajero WhatsApp. Compró una simCard de una empresa y resultó que ese número era reciclado de un usuario anterior dado de baja. Como el usuario anterior sí había sido usuario de WhatsApp, pero nunca dió de baja su cuenta antes de que le cancelaran el número, esa cuenta quedó inactiva pero siguió existiendo. Cuando esta periodista les pasa el nuevo número telefónico a sus contactos, que sí eran usarios de WhatsApp, les apareció en su mensajero la cuenta del usuario anterior del número, su fotografía de perfil, y su mensaje de estado.
No le quedó otra opción que buscar la forma de instalar en algún dispositivo neutral el mensajero para poder ella misma dar de baja esa cuenta ajena que recibió como herencia indeseada.
Yo tengo una cuenta nombreapellido@…, y un delincuente en México que se registró en ML usando mi correo. Ninguna validación.
Al parecer anduvo comprando codigos de liberación SIM con una tarjeta robada. «No puedes hacer el pago con tu Mastercard Débito terminada en:»