Menu
in

Cómo se hackean cuentas de Facebook (y cómo protegerse de ser hackeado)

Explorando las vulnerabilidades más comunes

Cómo se hackean cuentas de Facebook

Los ataques informáticos se multiplican, y con ellos detectamos un importante aumento en los intentos de estafas y engaños digitales. El usuario no sólo necesita estar consciente de esas maniobras: También debe aprender a reconocer las vulnerabilidades más comunes. Una pregunta demasiado frecuente (tal vez con cierta intención maliciosa) es cómo se hackean cuentas de Facebook. Nuestro objetivo hoy no es explicar eso, sino cómo defenderte ante un hipotético ataque y mantener protegido tu perfil.


Cómo se hackean cuentas de Facebook: Contraseñas débiles

Una buena “disciplina de contraseñas” es fundamental para protegerse

Parece mentira tener que explicar esto, pero si un usuario termina con su cuenta de Facebook hackeada, lo más probable es que haya utilizado una contraseña demasiado débil, o peor aún, repetido esa misma contraseña en diferentes servicios. Si uno de ellos llega a sufrir un ataque y las credenciales se filtran a la Web, toda su vida digital podría quedar expuesta.


Los administradores de contraseñas son tus aliados. En la imagen, KeePass.

La primera línea de defensa es cambiar la contraseña por otra mucho más robusta, y usar un administrador al mismo tiempo. Previamente compartimos una lista con los mejores del mercado, pero en lo personal creo que KeePass se mantiene un par de escalones por arriba del resto, gracias a su perfil gratuito, open source y offline.


No dudes en usar Have I Been Pwned para verificar la situación de tus correos

Otro recurso fundamental es el sitio Have I Been Pwned, que nos ayuda a comprobar si nuestras direcciones de correo se encuentran en bases de datos filtradas. Si no puedes reemplazar tus e-mails, como mínimo debes asegurarte de que cada servicio que los use de login se encuentren protegidos con contraseñas fuertes.


Phishing (correos, páginas, llamadas, etc.)

Algunos engaños son muy buenos, ¡ten cuidado!

Un correo electrónico que dice ser del “departamento de seguridad de Facebook”, una “emergencia” en tu cuenta de banco, un perfil en redes sociales que te anuncia como ganador de un sorteo, una advertencia sobre posibles fotos filtradas, alertas sobre el cierre de una cuenta… lo hemos leído y escuchado todo. Bienvenido al mundo del phishing, uno de los métodos más efectivos de ingeniería social.

La idea es sencilla: Robarte algo. Credenciales, números, códigos, cuentas, lo que sea. Algunos atacantes utilizan correos, páginas y perfiles falsos. Otros apuestan al vishing, voice phishing o voice solicitation, con interacciones más directas como llamadas o mensajes de voz.


Uno de los factores que alimentan la popularidad del vishing es que no requiere código, y es especialmente efectivo en adultos mayores


Lo más importante que debemos entender sobre el phishing y el vishing es que se trata de seguridad humana. La vulnerabilidad eres tú, y con eso en mente, hay algunos puntos que jamás debes perder de vista:

  • Nadie va a llamarte ni contactarte sin consentimiento previo explícito. Ni Facebook, ni Netflix, ni Spotify, ni Starbucks, ni el banco, ni tu proveedor de Internet, ni el Fondo Monetario (me ha pasado), ni príncipes nigerianos, ni Bill Gates, ni Elon Musk. Nadie. Debes asumir que todos esos intentos de comunicación son maliciosos, y buscan robarte algo.
  • No abras ningún correo electrónico sospechoso, no hagas clic en ningún enlace extraño, y no descargues un adjunto si no puedes comprobar su procedencia.
  • Jamás ingreses o compartas información personal, especialmente en ventanas de pop-up. Ninguna compañía real te pedirá datos de esta forma.
  • Busca errores de escritura o problemas de traducción. Una característica del phishing es que muchos ataques son de baja calidad, e ignoran detalles básicos como la ortografía.

Man in the Middle, “MITM”

En esencia

Nos encanta el WiFi público y gratuito, ¿por qué vamos a negarlo? Nos mantiene conectados, ayuda a ahorrar datos en nuestros paquetes, y nos ha sacado de un apuro en varias oportunidades, sin embargo… no es necesariamente seguro. El concepto de Man in the Middle se aplica a muchos casos, pero aquí debemos imaginar una red WiFi falsa o comprometida por un elemento malicioso que se hace pasar por una red WiFi pública. No importa exactamente cómo: Si el atacante sabe lo que hace, puede escuchar/registrar todo lo que pasa por su red, incluyendo credenciales de Facebook y otras redes sociales.


Sumar un VPN para conexiones públicas no es mala idea

Lo ideal sería evitar las redes WiFi públicas por completo, pero debemos ser realistas: Cómo mínimo, asegúrate que la red disponible sea de confianza (preguntar el nombre de la red en un establecimiento nunca está de más), y trata de usar un VPN para las conexiones más delicadas. Aquí tienes cuatro opciones gratuitas si no sabes por dónde comenzar.


Keylogging

Nada te impide instalar un keylogger en tu propio equipo, pero si lo hizo alguien más… usualmente son malas noticias

Por lejos, el peor caso. La presencia de un keylogger equivale a un dispositivo comprometido, y lo mismo sucede con todos los servicios a los que hayas accedido. Tal y como lo sugiere su nombre, el keylogger registra todo lo que haya pasado por el teclado, desde nombres de usuario y contraseñas hasta números de tarjeta y PINs de seguridad. Si alguien instaló un keylogger en tu equipo, busca mucho más que hackear tu cuenta de Facebook.

Técnicamente es posible recuperarse de un ataque como este (“Nuke and pave”, cambio de todas las contraseñas en todos los servicios, y extrema vigilancia para detectar movimientos extraños en home banking y otros perfiles), pero la mejor defensa es impedir que el keylogger sea instalado en primer lugar.


También hay keyloggers de hardware. Más raros y costosos, pero funcionan.

  • Una vez más, desconfía de cualquier enlace de descarga o adjunto extraño que puedas llegar a recibir. Trata de verificar su origen. Pregunta.
  • En dispositivos móviles, evita los teclados alternativos desarrollados por compañías sin reputación. La Play Store se encuentra en una batalla constante contra las apps maliciosas que buscan robar información, y nunca falta el teclado con obsequios en segundo plano…
  • La seguridad de los sistemas operativos actuales ha mejorado mucho, pero nunca es mala idea sumar una herramienta adicional de protección. Malwarebytes sigue siendo una de las más recomendadas, y tiene un artículo completo dedicado a los keyloggers.
  • ¿Ordenador compartido? Chequea puertos USB y otros detalles. Ya hemos escuchado historias sobre hardware misterioso en el pasado…

Cómo se hackean cuentas de Facebook: En resumen

Algunos atacantes se concentran en una de estas estrategias. Otros aplican una combinación de todas ellas, pero para obtener acceso a una cuenta de Facebook, lo más probable es que prueben contraseñas débiles y apunten al phishing. Por supuesto, esto no se limita a Facebook. También debes pensar en Twitter, TikTok, Instagram, Discord, Twitch, y todo lo que sea de interés para ti online. ¡Buena suerte!


Escrito por Lisandro Pardo

Leave a Reply