Verificador de cuentas

Account Checker es un tipo de programa utilizado por los ciberdelincuentes para obtener acceso ilegal a las cuentas de clientes online de otras personas. El término se compone de las palabras inglesas «customer account» y «checker». El ciberdelincuente utiliza un verificador de cuentas para comprobar si determinadas direcciones de correo electrónico están vinculadas a una cuenta de cliente con un proveedor. En cuanto encuentra una cuenta de cliente de este tipo, inicia un proceso de relleno de credenciales. Esto significa que intenta adivinar la contraseña correcta para esta cuenta de cliente.

¿Qué significa en detalle el término Comprobador de cuentas?

• Los verificadores de cuentas son programas de pirateo relativamente sencillos. Se pueden comprar ya hechas y, por tanto, están muy disponibles.
• ¿De dónde proceden las direcciones de correo electrónico que comprueban estos verificadores de cuentas? Desde incidentes cibernéticos en los que los ciberdelincuentes han robado las direcciones de correo electrónico de los clientes de una tienda online, por ejemplo. Las listas de estas direcciones de correo electrónico circulan a menudo por la Darknet. También existen listas similares de contraseñas o incluso combinaciones de direcciones de correo electrónico y sus correspondientes contraseñas para cuentas de clientes pirateadas.
• Muchos usuarios utilizan la misma combinación de dirección de correo electrónico y contraseña para varias de sus cuentas de cliente. Utilizando las listas anteriores, los ciberdelincuentes intentan encontrar esas «cuentas gemelas» para abusar de ellas.

¿Dónde encuentro el tema de los verificadores de cuentas en mi trabajo diario?

Principalmente, presumiblemente a través de medidas con las que las tiendas online y otros proveedores intentan evitar el éxito de los verificadores de cuentas y el relleno de credenciales. Estas medidas incluyen, por ejemplo, sólo permitirte un número limitado de intentos fallidos de inicio de sesión. Esto significa que los ciberdelincuentes sólo pueden probar unas pocas contraseñas durante un ataque.

¿Qué puedo hacer para mejorar mi seguridad?

Las mismas medidas de seguridad que utilizas para protegerte de la suplantación de credenciales se aplican a los usuarios. Brevemente resumido:

• Cambia las contraseñas que utilizas desde hace tiempo.
• Utiliza una contraseña diferente y segura para cada cuenta de usuario.
• Utiliza un gestor de contraseñas si es necesario.
• Utiliza la autenticación de dos factores siempre que sea posible.

Como proveedor de un sitio web con cuentas de usuario, puedes aumentar la seguridad de tus clientes tomando las siguientes medidas:

• Limita el número permitido de solicitudes e intentos de inicio de sesión desde la misma IP. Lo ideal es que denieguen el acceso a la IP durante 12 – 24 horas una vez alcanzado este número.
• No des a los verificadores de cuentas ninguna indicación sobre si una dirección de correo electrónico está registrada contigo. Deja que tu pantalla de inicio de sesión muestre siempre el mismo comportamiento cuando se realicen entradas incorrectas. Esto significa que no es posible determinar si sólo la contraseña era inadecuada o también la dirección de correo electrónico.
• Incluso con la opción de restablecimiento de contraseña, no da ninguna indicación sobre si la dirección de correo electrónico en cuestión es siquiera conocida en el sistema.
• Una respuesta neutral podría ser algo así: «Ahora te enviaremos un correo electrónico con un enlace para restablecer tu contraseña. Si no recibes un correo electrónico nuestro en los próximos minutos, comprueba la dirección de correo electrónico que has introducido y tu carpeta de correo no deseado. Si tienes algún problema, ponte en contacto con nuestro servicio de atención al cliente».

Estrechamente relacionada con esta entrada está nuestra entrada del glosario sobre el relleno de credenciales.