Un verificador de cuenta es un tipo de programa que los ciberdelincuentes utilizan para acceder de forma ilegal a las cuentas de cliente en línea de otras personas. El término viene del inglés «account checker», que se compone de account (cuenta) y checker (verificador). Con un verificador de cuenta, los hackers comprueban si determinadas direcciones de correo electrónico están vinculadas a una cuenta de cliente con un proveedor. Una vez que descubre una cuenta de este tipo, inician un proceso de relleno de credenciales, es decir, intentan adivinar la contraseña correspondiente a dicha cuenta.
¿Qué significa exactamente el término verificador de cuenta?
Los verificadores de cuentas son programas de hacking relativamente sencillos. Se pueden comprar y, por lo tanto, están disponibles para cualquiera. Una pregunta frecuente es de dónde proceden las direcciones de correo electrónico que comprueban estos verificadores de cuentas. Se consiguen a través de incidentes cibernéticos en los que, por ejemplo, los ciberdelincuentes consiguen la dirección de correo electrónico de los clientes de una tienda online. Estas listas de direcciones de correo suelen circular por la red oscura. Además, hay listas similares de contraseñas o incluso de combinaciones de direcciones de correo y sus contraseñas asociadas de cuentas ya hackeadas. Muchos usuarios utilizan la misma dirección de correo y la misma contraseña para varias cuentas diferentes. Mediante las listas anteriores, los hackers tratan de encontrar esas «cuentas gemelas» para hacer un uso indebido de ellas.
¿En el trabajo diario, dónde puedo encontrarme con el tema de los verificadores de cuentas?
Normalmente, a través de las medidas que emplean las tiendas online y otros proveedores para intentar evitar que los verificadores de cuentas consigan su objetivo y evitar el relleno de credenciales. Estas medidas incluyen, por ejemplo, permitir solo un número limitado de intentos de inicio de sesión. Así, los ciberdelincuentes solo pueden probar unas pocas contraseñas durante un ataque.
¿Qué puedo hacer para mejorar mi seguridad?
Se pueden utilizar las mismas medidas de seguridad que se emplean contra el relleno de credenciales. En resumen:
- Cambiar las contraseñas que se hayan utilizado durante mucho tiempo.
- Utilizar una contraseña diferente y segura para cada cuenta de usuario.
- Emplear un gestor de contraseñas si es necesario.
- Activar la autenticación de dos factores siempre que sea posible.
Si eres el proveedor de un sitio web que recoge cuentas de usuario, puedes aumentar la seguridad de tus clientes mediante las siguientes medidas:
- Limita el número permitido de solicitudes e intentos de inicio de sesión desde la misma IP. Lo ideal es denegar el acceso a dicha IP durante 12-24 horas después de alcanzar el máximo de intentos.
- No des a los verificadores de cuentas ninguna pista sobre si una dirección de correo electrónico está registrada en tu sitio web. Configura la página de acceso para que muestre la misma información en caso de entradas erróneas, es decir, no debe indicar qué información es errónea, ya sea solo la contraseña o la dirección de correo.
- Esto también debe aplicarse a la opción de restablecer la contraseña: no debe dar ninguna pista sobre si la dirección de correo electrónico en cuestión está registrada en el sistema.
- Un ejemplo de respuesta neutra podría ser: «Le vamos a enviar un correo electrónico con un enlace para que restablezca su contraseña. Si no recibe un correo por nuestra parte en los próximos minutos, compruebe la dirección de correo electrónico que ha introducido y la carpeta de correo no deseado. Si tiene algún problema, póngase en contacto con nuestro servicio de atención al cliente».
Esta entrada está relacionada con la del término relleno de credenciales en nuestro glosario.