Algunas de las estafas más habituales en Facebook Messenger incluyen las solicitudes de códigos de autenticación, las páginas benéficas falsas que piden donaciones, los mensajes que
Un ataque de apropiación de cuentas es un tipo de robo de identidad que se produce cuando un cibercriminal accede a su cuenta en línea y cambia sus credenciales de inicio de sesión para dejarle a usted fuera. Cuando ya no pueda iniciar sesión, el cibercriminal utilizará su identidad para robar información privada o incluso estafar a otros. Puede evitar los ataques de apropiación de cuentas utilizando contraseñas seguras, habilitando la autenticación multifactor (MFA) e invirtiendo en el monitoreo de la dark web. Según un informe reciente, más de 77 millones de adultos han sido objeto de apropiaciones de cuentas, siendo las cuentas de redes sociales las más hackeadas.
Siga leyendo para descubrir por qué las apropiaciones de cuentas son tan peligrosas y cómo protegerse de ellas, ya sea como individuo o como organización.
¿Qué hace que las apropiaciones de cuentas sean tan peligrosas?
Las apropiaciones de cuentas son muy peligrosas, tanto para particulares como para organizaciones, porque pueden provocar:
- El robo de información personal
- Pérdidas financieras
- Vulnerabilidad frente a un robo de identidad
- Daños a la reputación
- Datos vulnerados
Cuando un cibercriminal accede a una cuenta en línea que contiene información personal o de clientes, podría utilizar lo que encuentre para iniciar sesión en otras cuentas o vender los datos a otros cibercriminales en la dark web. Como la apropiación de cuentas deja a su víctima bloqueado fuera de su cuenta, es complicado para la persona o la empresa recuperar el acceso, recuperar sus datos, recuperar su dinero o reparar su reputación dañada.
Cómo pueden los individuos prevenir una apropiación de cuentas
Como individuo, puede proteger su información y evitar que alguien se apropie de su cuenta siguiendo estos consejos.
Utilice contraseñas seguras para todas las cuentas
Cree una contraseña segura y exclusiva para cada una de sus cuentas en línea. Una contraseña segura contiene más de 16 caracteres y una combinación de letras mayúsculas y minúsculas, números y símbolos. Cuanto más larga y aleatoria sea una contraseña, más protegida estará su cuenta de los ataques cibernéticos. A la hora de crear una contraseña segura, evite utilizar palabras o frases comunes, información personal o números secuenciales.
Habilite la autenticación multifactor (MFA) siempre que esté disponible
La autenticación multifactor (MFA) es una medida de seguridad adicional que requiere que los usuarios proporcionen una prueba adicional de identidad más allá de un nombre de usuario y una contraseña. Cuando habilita la autenticación MFA, debe introducir una verificación adicional, como un PIN, un código de una aplicación de autenticación o su huella dactilar. Habilitar la autenticación MFA hace que sea mucho más difícil para los cibercriminales acceder a sus cuentas, ya que no solo les exigirá conocer su nombre de usuario y contraseña, sino también una forma adicional de demostrar su identidad, a la que solo usted debería tener acceso.
Aprenda a reconocer los intentos de phishing
Muchas de las apropiaciones de cuentas se producen una vez que la gente ha caído en un ataque de phishing. El phishing se produce cuando un cibercriminal se hace pasar por una persona o empresa que la víctima conoce para persuadirle de que comparta información privada. La mayoría de los intentos de phishing utilizan un lenguaje de urgencia, para persuadirle de que actúe con rapidez o amenazarle si no sigue las instrucciones de inmediato. A menudo, los mensajes de phishing contienen errores ortográficos y gramaticales, que debería poder detectar con facilidad, ya que la mayoría de las empresas revisan los correos electrónicos varias veces antes de enviarlos. Compruebe la dirección de correo electrónico del remitente para verificar que el dominio coincide con el de una empresa de buena reputación antes de confiar en la identidad del remitente.
Nunca haga clic en enlaces ni en archivos adjuntos no solicitados
Si alguna vez recibe un correo electrónico o mensaje de texto no solicitado que contenga enlaces o archivos adjuntos, no haga clic en ellos ni los descargue. Incluso si el mensaje parece provenir de una empresa con la que tiene una cuenta, debería dirigirse al sitio web o la aplicación oficial de la empresa e iniciar sesión en su cuenta desde allí. Cualquier enlace o archivo adjunto no solicitado podría contener malware diseñado por un cibercriminal para robar sus datos privados una vez instalado en el dispositivo.
Puede comprobar si un enlace es seguro pasando el ratón por encima del enlace, lo que le ofrecerá una vista previa de la URL, o copiando y pegando el enlace en un verificador de URL. Compruebe que los archivos adjuntos de los correos electrónicos son seguros, comprobando la dirección de correo electrónico del remitente y utilizando un software antivirus para escanear los archivos adjuntos.
Utilice una herramienta de monitoreo de la dark web
Puede utilizar una herramienta de monitoreo de la dark web para ver si su información personal se encuentra en la dark web, una parte de Internet donde los cibercriminales pueden comprar y vender cualquier información obtenida a través de actividades maliciosas. Algunos gestores de contraseñas, como Keeper®, ofrecen una herramienta de monitoreo de la dark web como función complementaria para escanear la dark web en busca de las credenciales de inicio de sesión que tiene guardadas en su bóveda.
Pruebe la herramienta gratuita de escaneo de la dark web de Keeper para ver si sus credenciales de inicio de sesión han aparecido en la dark web.
Cómo pueden las organizaciones prevenir los ataques de apropiación de cuentas
Hay varias maneras en que tanto usted como su organización pueden prevenir que sus datos sean vulnerados, y su reputación dañada, por culpa de una apropiación de cuentas.
Utilice un gestor de contraseñas empresarial
Si su organización todavía no utiliza un gestor de contraseñas para empresas, esto es una clara señal de que debería de empezar a hacerlo. Los gestores de contraseñas empresariales permiten a sus empleados gestionar y almacenar sus contraseñas de forma segura en una bóveda digital. Y exigen que los empleados utilicen un gestor de contraseñas dentro de su empresa, además de garantizar que sigan las prácticas recomendadas en materia de contraseñas. Los gestores de contraseñas empresariales también permiten a los empleados compartir contraseñas cifradas de forma segura para poder colaborar sin peligro. Esto garantiza que los usuarios no autorizados no intercepten las contraseñas y que las credenciales de inicio de sesión permanezcan seguras en la bóveda digital cifrada de cada empleado. Los gestores de contraseñas también pueden ayudar a aplicar la autenticación MFA almacenando códigos MFA en un registro y autocompletándolos cuando el usuario necesite introducir un código MFA en un sitio web o una cuenta. Los gestores de contraseñas empresariales hacen que almacenar y compartir contraseñas sea seguro y práctico para cualquier empleado y organización.
Invierta en el monitoreo de la dark web
Su organización debería invertir en un monitoreo de la dark web para prevenir la apropiación de sus cuentas. La mejor herramienta de monitoreo de la dark web que su organización puede utilizar es BreachWatch® de Keeper Security. Se trata de una función complementaria de Keeper Password Manager que comprueba constantemente la dark web para ver si los registros almacenados en las bóvedas de los empleados han aparecido en la dark web. En el caso de que BreachWatch detecte una coincidencia, el empleado será notificado de inmediato para que pueda cambiar su contraseña vulnerada y actualizarla directamente en su gestor de contraseñas.
Introduzca su dirección de correo electrónico en el escáner de la dark web para empresas de Keeper para comprobar si usted o los empleados de su empresa han sido expuestos en la dark web.
Limite el número de intentos de inicio de sesión
Establezca un límite para el número de intentos de inicio de sesión que alguien puede hacer para acceder a su cuenta. Los ataques de fuerza bruta se producen cuando un cibercriminal adivina las credenciales de inicio de sesión por ensayo y error, cosa que puede suceder cuando los intentos de inicio de sesión de un usuario no están limitados. Dado que los ataques de fuerza bruta dependen del número de intentos de inicio de sesión, limitar el número a tres a cuatro intentos debería ser suficiente para superar los errores tipográficos de los empleados al tiempo que se previene el acceso no autorizado de los cibercriminales potenciales.
Configure un cortafuegos de aplicaciones web (WAF, por sus siglas en inglés)
Su organización puede configurar un WAF para ayudar a filtrar el tráfico entre una aplicación web e Internet. Mediante el uso de un WAF, su organización protege cualquier aplicación web de posibles ataques cibernéticos, incluidas las apropiaciones de cuentas. Los WAF identifican y bloquean las solicitudes del tráfico no autorizado e incluso pueden detectar cuándo los bots de los cibercriminales están intentando infiltrarse en sus cuentas.
Implemente la confianza cero
La confianza cero es un marco de seguridad que asume que todos los dispositivos y cuentas pueden verse vulnerados. Para evitarlo, todos los usuarios, tanto humanos como máquinas, deben verificar constantemente su identidad dentro de una organización a través de varios procesos de autenticación. Los tres principios básicos de la confianza cero son que se dan por supuestas las violaciones de seguridad, que se exige que todo el mundo verifique su identidad para acceder a la red y los datos de la organización, además de que se garantiza que los usuarios solo cuentan con acceso de privilegios mínimos. Todos los dispositivos de los empleados que se utilicen en la red de una organización deben ser registrados y gestionados para llevar un control de quién tiene permitido el acceso.
Un aspecto importante de las soluciones de confianza cero es el acceso de privilegios mínimos, que solo ofrece a los empleados el acceso necesario para hacer su trabajo, lo que ayuda a evitar que una violación de datos pueda propagarse. De esta forma, en el caso de que se produzca la apropiación de la cuenta de un empleado, el acceso limitado de este no le brindará al cibercriminal acceso completo al resto de la organización. Por ejemplo, si un empleado cuya cuenta ha sido apropiada tuviera no solo acceso a los datos de marketing, sino también a la información de los clientes, las transacciones y las cuentas de redes sociales, el cibercriminal tendría acceso a datos mucho más valiosos.
Forme a los empleados en materia de concienciación sobre seguridad
Informe a sus empleados sobre los posibles riesgos y amenazas de seguridad llevando a cabo pruebas de phishing: correos electrónicos de phishing simulados enviados a toda la empresa para comprobar la reacción de los empleados. Estas pruebas pueden ayudarle a determinar si su organización está preparada para los ataques de phishing o si los empleados necesitan formación adicional sobre medidas de seguridad. Formar a sus empleados en materia de amenazas de seguridad le protegerá tanto a usted como a su organización de ataques cibernéticos en el futuro.
Protéjase de las apropiaciones de cuentas con Keeper
Tanto en el caso de los particulares como de las organizaciones, todos necesitan protección contra la apropiación de cuentas y otros ataques cibernéticos. Keeper puede protegerle a usted y a su organización con nuestras herramientas de monitoreo de la dark web y nuestro gestor de contraseñas.
Comience hoy mismo una prueba gratuita de Keeper Password Manager para sus cuentas personales y empresariales.