Lisandro Pardo
Los ataques informáticos se multiplican, y con ellos detectamos un importante aumento en los intentos de estafas y engaños digitales. El usuario no sólo necesita estar consciente de esas maniobras: También debe aprender a reconocer las vulnerabilidades más comunes. Una pregunta demasiado frecuente (tal vez con cierta intención maliciosa) es cómo se hackean cuentas de Facebook. Nuestro objetivo hoy no es explicar eso, sino cómo defenderte ante un hipotético ataque y mantener protegido tu perfil.
Tabla de contenidos
Cómo se hackean cuentas de Facebook: Contraseñas débiles
Parece mentira tener que explicar esto, pero si un usuario termina con su cuenta de Facebook hackeada, lo más probable es que haya utilizado una contraseña demasiado débil, o peor aún, repetido esa misma contraseña en diferentes servicios. Si uno de ellos llega a sufrir un ataque y las credenciales se filtran a la Web, toda su vida digital podría quedar expuesta.
La primera línea de defensa es cambiar la contraseña por otra mucho más robusta, y usar un administrador al mismo tiempo. Previamente compartimos una lista con los mejores del mercado, pero en lo personal creo que KeePass se mantiene un par de escalones por arriba del resto, gracias a su perfil gratuito, open source y offline.
Otro recurso fundamental es el sitio Have I Been Pwned, que nos ayuda a comprobar si nuestras direcciones de correo se encuentran en bases de datos filtradas. Si no puedes reemplazar tus e-mails, como mínimo debes asegurarte de que cada servicio que los use de login se encuentren protegidos con contraseñas fuertes.
Phishing (correos, páginas, llamadas, etc.)
Un correo electrónico que dice ser del “departamento de seguridad de Facebook”, una “emergencia” en tu cuenta de banco, un perfil en redes sociales que te anuncia como ganador de un sorteo, una advertencia sobre posibles fotos filtradas, alertas sobre el cierre de una cuenta… lo hemos leído y escuchado todo. Bienvenido al mundo del phishing, uno de los métodos más efectivos de ingeniería social.
La idea es sencilla: Robarte algo. Credenciales, números, códigos, cuentas, lo que sea. Algunos atacantes utilizan correos, páginas y perfiles falsos. Otros apuestan al vishing, voice phishing o voice solicitation, con interacciones más directas como llamadas o mensajes de voz.
Lo más importante que debemos entender sobre el phishing y el vishing es que se trata de seguridad humana. La vulnerabilidad eres tú, y con eso en mente, hay algunos puntos que jamás debes perder de vista:
- Nadie va a llamarte ni contactarte sin consentimiento previo explícito. Ni Facebook, ni Netflix, ni Spotify, ni Starbucks, ni el banco, ni tu proveedor de Internet, ni el Fondo Monetario (me ha pasado), ni príncipes nigerianos, ni Bill Gates, ni Elon Musk. Nadie. Debes asumir que todos esos intentos de comunicación son maliciosos, y buscan robarte algo.
- No abras ningún correo electrónico sospechoso, no hagas clic en ningún enlace extraño, y no descargues un adjunto si no puedes comprobar su procedencia.
- Jamás ingreses o compartas información personal, especialmente en ventanas de pop-up. Ninguna compañía real te pedirá datos de esta forma.
- Busca errores de escritura o problemas de traducción. Una característica del phishing es que muchos ataques son de baja calidad, e ignoran detalles básicos como la ortografía.
Man in the Middle, “MITM”
Nos encanta el WiFi público y gratuito, ¿por qué vamos a negarlo? Nos mantiene conectados, ayuda a ahorrar datos en nuestros paquetes, y nos ha sacado de un apuro en varias oportunidades, sin embargo… no es necesariamente seguro. El concepto de Man in the Middle se aplica a muchos casos, pero aquí debemos imaginar una red WiFi falsa o comprometida por un elemento malicioso que se hace pasar por una red WiFi pública. No importa exactamente cómo: Si el atacante sabe lo que hace, puede escuchar/registrar todo lo que pasa por su red, incluyendo credenciales de Facebook y otras redes sociales.
Lo ideal sería evitar las redes WiFi públicas por completo, pero debemos ser realistas: Cómo mínimo, asegúrate que la red disponible sea de confianza (preguntar el nombre de la red en un establecimiento nunca está de más), y trata de usar un VPN para las conexiones más delicadas. Aquí tienes cuatro opciones gratuitas si no sabes por dónde comenzar.
Keylogging
Por lejos, el peor caso. La presencia de un keylogger equivale a un dispositivo comprometido, y lo mismo sucede con todos los servicios a los que hayas accedido. Tal y como lo sugiere su nombre, el keylogger registra todo lo que haya pasado por el teclado, desde nombres de usuario y contraseñas hasta números de tarjeta y PINs de seguridad. Si alguien instaló un keylogger en tu equipo, busca mucho más que hackear tu cuenta de Facebook.
Técnicamente es posible recuperarse de un ataque como este (“Nuke and pave”, cambio de todas las contraseñas en todos los servicios, y extrema vigilancia para detectar movimientos extraños en home banking y otros perfiles), pero la mejor defensa es impedir que el keylogger sea instalado en primer lugar.
- Una vez más, desconfía de cualquier enlace de descarga o adjunto extraño que puedas llegar a recibir. Trata de verificar su origen. Pregunta.
- En dispositivos móviles, evita los teclados alternativos desarrollados por compañías sin reputación. La Play Store se encuentra en una batalla constante contra las apps maliciosas que buscan robar información, y nunca falta el teclado con obsequios en segundo plano…
- La seguridad de los sistemas operativos actuales ha mejorado mucho, pero nunca es mala idea sumar una herramienta adicional de protección. Malwarebytes sigue siendo una de las más recomendadas, y tiene un artículo completo dedicado a los keyloggers.
- ¿Ordenador compartido? Chequea puertos USB y otros detalles. Ya hemos escuchado historias sobre hardware misterioso en el pasado…
Cómo se hackean cuentas de Facebook: En resumen
Algunos atacantes se concentran en una de estas estrategias. Otros aplican una combinación de todas ellas, pero para obtener acceso a una cuenta de Facebook, lo más probable es que prueben contraseñas débiles y apunten al phishing. Por supuesto, esto no se limita a Facebook. También debes pensar en Twitter, TikTok, Instagram, Discord, Twitch, y todo lo que sea de interés para ti online. ¡Buena suerte!
Hice una prueba de psw en have i been pwned?
La misma psw que uso hace 10 años
10 caracteres alfanuméricos y una mayúscula.
Tan simple como C0m3d0r775. Inhackeable de aquí a 100 años.
Exacto, y si le agregas un par de ñ y símbolos, imposible.
A un amigo le dije que usara K0$?3nz4, pero le pareció muy complicada. Perdió cientos de dólares en skins. La gente no entiende que las psw complicadas resultan ser fáciles cuando las repites una y otra vez. Luego de escribir tantas veces lo mismo, h4st4 t3 r3sul7a f4c1l 3scr1b1rl0 d3 m4n3r4 n4tur4l 3n 3l t3cl4d0.
Y al final te das cuenta que luego te cuesta escribir una psw fácil. Es muy extraño para algúnos, pero es parte del proceso de aprendizaje del cerebro. Reemplaza algo por otra cosa o algo asìí.