Desafortunadamente, piratear la cuenta de correo electrónico de alguien basada en la web es más fácil de lo que la mayoría de la gente cree, y los hackers lo hacen de diferentes maneras. A veces, utilizan un método bien conocido llamado phishing. Algunos hackers adivinan las contraseñas directamente o utilizan una herramienta de restablecimiento de contraseñas para crear una nueva contraseña sin su conocimiento y consentimiento. La mejor manera de aprender a proteger su contraseña de los ladrones es entender cómo roban las contraseñas.

Cómo los hackers roban contraseñas

Con frecuencia, los hackers roban contraseñas utilizando una técnica llamada phishing, en la que el hacker envía un correo electrónico de aspecto oficial que dirige a la víctima a un sitio web o formulario falso. La víctima introduce una contraseña en el sitio falso, a la que el hacker puede acceder.

Por ejemplo, un hacker puede enviar a alguien un correo electrónico que diga que la contraseña de la cuenta bancaria del destinatario es demasiado débil y necesita ser reemplazada. El correo electrónico dirigiría a la víctima a un sitio web fraudulento que puede parecerse notablemente al sitio que está imitando.

Cuando el usuario hace clic en el enlace y entra en la página, introduce su dirección de correo electrónico y su contraseña, probablemente sin sospechar nunca que algo anda mal. Cuando introduce los datos en el formulario, el hacker puede recibir un correo electrónico que contiene la información de la cuenta y la contraseña, junto con el acceso completo a su cuenta bancaria. Un hacker podría entrar como la víctima, ver sus transacciones bancarias, mover dinero, e incluso escribir cheques en línea.

El mismo concepto se aplica a cualquier sitio web que utilice un inicio de sesión, como un proveedor de correo electrónico, una compañía de tarjetas de crédito, un sitio web de medios sociales, etc. Si un hacker roba la contraseña del servicio de copias de seguridad en línea de alguien, por ejemplo, ahora puede ver todos los archivos de los que se ha hecho una copia de seguridad y descargarlos a su propio ordenador, leer los documentos secretos de la víctima, ver fotos, etc.

Un hacker también puede acceder a la cuenta de alguien utilizando la herramienta de restablecimiento de contraseña del sitio web. Esta herramienta está destinada a ayudar al usuario a recordar su contraseña – pero si un hacker conoce las respuestas a las preguntas secretas del usuario, puede restablecer la contraseña y luego iniciar sesión en la cuenta con la nueva contraseña que ha creado.

Otro método para piratear la cuenta de alguien es simplemente adivinar la contraseña. Si su contraseña se basa en datos personales (por ejemplo, un cumpleaños, una dirección o un número de teléfono) u otras frases sencillas, un hacker puede entrar sin dudarlo y sin que usted lo sepa.

Detección de un trabajo de hacking

Cada vez que reciba un correo electrónico sobre cómo restablecer su contraseña, compruebe la dirección de correo electrónico del remitente para asegurarse de que el nombre de dominio es real. Por lo general se parece a «something@websitename.com.» Por ejemplo, «support@bank.com» típicamente indicaría que usted está recibiendo el correo electrónico de Bank.com. Sin embargo, los hackers pueden falsificar las direcciones de correo electrónico, lo que significa que la dirección de envío puede ser falsa.

Qué hacer

Su mejor defensa contra el phishing de contraseñas es saber cómo son sus sitios bancarios, para que pueda detectar las falsificaciones. Si sabe qué buscar y sospecha de forma predeterminada cada vez que introduce su contraseña en línea, hará un gran esfuerzo para evitar los intentos de suplantación de identidad (phishing) con éxito. Hay algunas otras precauciones que usted también puede tomar.

• Cuando abra un enlace en un correo electrónico, compruebe que el navegador resuelve el enlace correctamente. Si, por ejemplo, un enlace «whatever.bank.com» cambia a «somethingelse.org», salga de la página inmediatamente.
• Comprueba que las primeras letras de la URL sean «https». La «s» indica que es un sitio seguro; nunca ingrese ningún detalle financiero en un sitio que no sea seguro.
• Si recibe un correo electrónico con un enlace sospechoso, escriba la URL del sitio web directamente en la barra de navegación, en lugar de hacer clic en el enlace.
• Configure una autenticación de dos factores (o de dos pasos) (si el sitio web lo admite) para que, cada vez que inicie sesión, necesite su contraseña y un código. Recibirá el código a través de su correo electrónico o de su teléfono, por lo que el hacker necesitará tanto su contraseña como el acceso a su cuenta de correo electrónico o teléfono.
• Elija preguntas complejas para las comprobaciones de seguridad de restablecimiento de contraseña, o simplemente evite responderlas con veracidad, de modo que para un hacker sería casi imposible adivinarlas. Por ejemplo, si una de las preguntas es «¿En qué ciudad fue mi primer trabajo?», contesta con una contraseña de tipo «topekaKSt0wn», o incluso algo completamente no relacionado y aleatorio como «UJTwUf9e».

• Esto suena obvio, pero te sorprendería saber cuánta gente tiene contraseñas muy simples. Cámbielos si los tiene. Incluya letras mayúsculas, números y caracteres especiales como signos de puntuación. Si tienes una contraseña muy fuerte y segura, es muy probable que ni siquiera puedas recordarla (lo cual es bueno); intenta usar un administrador de contraseñas gratuito para no tener que recordarlas todas. El navegador Chrome de Google tiene un administrador de contraseñas seguro integrado.
• Almacene información confidencial como su tarjeta de crédito o datos bancarios sólo dentro de las cuentas en línea de las empresas en las que confía.
• Para compras en línea, considere la posibilidad de utilizar PayPal (que ofrece otra capa de protección). Otra solución: Utilice una tarjeta temporal o recargable para que no haya saldo al que un hacker pueda acceder.