El correo es la llave maestra
Casi todos los servicios en línea ofrecen una función de recuperación de cuenta por correo electrónico: '¿Olvidaste tu contraseña?'. Por tanto, quien controla tu dirección de correo controla potencialmente tu cuenta de Amazon, la app de tu banco, tus redes sociales, tu almacenamiento en la nube y tu Apple ID o cuenta de Google.
Un atacante que acceda a tu Gmail o a tu Outlook puede desencadenar un restablecimiento de contraseña en cualquier servicio vinculado, sin conocer ni una sola de tus contraseñas. La solidez de tu contraseña de Gmail importa infinitamente más que la de tu contraseña de Spotify.
Esto es lo que los profesionales de la seguridad llaman el 'eslabón más débil': los atacantes no atacan el servicio mejor protegido, sino el menos protegido que permite llegar a los demás.
Los ataques habituales contra las cuentas de correo
Cuatro vectores de ataque concentran la gran mayoría de los correos comprometidos.
El phishing dirigido es el más frecuente: un correo que imita a Google, Microsoft o Apple te invita a volver a iniciar sesión. La página de phishing captura tus credenciales en tiempo real. El credential stuffing explota bases de datos de contraseñas robadas de otros servicios (Have I Been Pwned recopila más de 15 000 millones de cuentas expuestas): si reutilizas la misma contraseña, los atacantes la prueban automáticamente en tu correo. El SIM swapping secuestra tu número de teléfono ante tu operador para interceptar los SMS de verificación. La fuerza bruta ataca las cuentas sin 2FA que usan contraseñas sencillas.
Cómo proteger tu correo
Cinco acciones concretas, ordenadas por impacto:
- →Activa la autenticación en dos factores (2FA), preferiblemente mediante una app de autenticación (Google Authenticator, Authy, Aegis) en lugar de por SMS, que es vulnerable al SIM swapping.
- →Usa una contraseña única y larga (20 caracteres como mínimo) generada por un gestor de contraseñas (Bitwarden, 1Password), y no la reutilices nunca en otro sitio.
- →Revisa con regularidad las sesiones activas: en Gmail, haz clic en 'Actividad de la cuenta' al final de la página para ver y cerrar cualquier conexión sospechosa.
- →Activa las alertas de inicio de sesión desde dispositivos nuevos: Gmail y Outlook envían un correo o una notificación cada vez que se produce un nuevo inicio de sesión.
- →Evita usar tu dirección de correo principal como identificador en sitios poco conocidos: utiliza una dirección alias (SimpleLogin, Apple Hide My Email).
La seguridad digital es una cadena. Su eslabón más débil suele ser el correo electrónico, no el servicio que intentas proteger. Dedica hoy cinco minutos a activar el 2FA en tu cuenta de correo principal: es la única acción con la mejor relación protección-esfuerzo de toda la seguridad digital personal.
- Have I Been Pwned — aggregated data-breach database (Troy Hunt), homepage account count
- Google Security Team, with New York University & UC San Diego — “New research: How effective is basic account hygiene at preventing hijacking,” Google Security Blog, 2019
- Kevin Lee, Ben Kaiser, Jonathan Mayer, Arvind Narayanan — “An Empirical Study of Wireless Carrier Authentication for SIM Swaps,” SOUPS 2020, Princeton University
- NIST Special Publication 800-63B — Digital Identity Guidelines: Authentication and Lifecycle Management (§5.1.3.3)
Comprueba la seguridad de tu cuenta