4 lecciones aprendidas de ser hackeado en Netflix e Instagram

Hace tres meses, me desperté en medio de la noche y encendí mi teléfono para ver la hora. Por lo general, ignoro las notificaciones por la noche, pero en un estado de zombie vi que tenía algunos correos electrónicos nuevos y deslicé la barra de notificaciones hacia abajo. En el momento en que leí las líneas de asunto, mi corazón cayó. Recibí dos correos electrónicos de Netflix. Uno me decía que mi contraseña había cambiado, el otro que mi dirección de correo electrónico había cambiado.

Me sentí mal cuando intenté iniciar sesión y no pude. Lo primero que tenía en mente era la información de mi tarjeta de crédito. ¿Podrían acceder? ¿Los dígitos o mi dirección eran visibles? Afortunadamente, no lo eran, pero no lo sabía y antes de que pudiera pensar en restaurar mi cuenta de Netflix, llamé a mi banco e instantáneamente bloqueé mi tarjeta.

Afortunadamente, la atención al cliente de Netflix fue realmente útil y rápidamente me devolvieron mi cuenta de alguien en Puerto Rico. Volver a iniciar sesión en esa cuenta fue una sensación horrible. Se sintió inseguro. Estaba inquieto y sentía que los intrusos aún acechaban y me miraban.

Esperaba que fuera la última vez, pero no, volvió a ocurrir. La semana pasada, tuve una repetición del incidente cuando una nueva cuenta de Instagram que había creado para mi sitio web fue pirateada. Afortunadamente, esta vez no hubo llamadas al banco ni información de qué preocuparme, pero aún así me sentí violado. Me devolvieron la cuenta sin muchos problemas. Solo tenía que hacer clic en un enlace en uno de los correos electrónicos que me envió Instagram.

Alguien de Rusia se había hecho cargo. Aparte de que me encerraron, no hicieron nada más que borrar mi biografía. Todavía no entiendo por qué piratearon una cuenta con solo 5 seguidores. Al menos con el hacker de Netflix, podría entender que querrían ver algo, ¿tal vez Stranger Things? (no lo hicieron), pero ¿por qué hackear una cuenta de Instagram sin nada?

Ambos incidentes me han hecho repensar las contraseñas. Por un lado, culpo a las filtraciones de contraseña.

En ambas cuentas, la contraseña que fue pirateada fue la misma. También era lo mismo que había usado en sitios como LinkedIn, Dropbox y MyFitnessPal. Sitios que habían sufrido importantes violaciones de seguridad en el pasado. Las contraseñas de millones de usuarios de esos sitios están disponibles para que cualquiera las pueda robar y probar en otros sitios web porque hay muchas personas tontas como yo que usan la misma contraseña.

Lección aprendida: no use la misma contraseña para todo

Teniendo en cuenta que los piratas informáticos en su mayoría obtienen contraseñas de estas filtraciones, sería inteligente cambiar la suya con frecuencia. Los ataques de seguridad no se anuncian al instante. Dropbox recibió muchas críticas por no anunciar la violación hasta una semana después. Solo imagine la cantidad de tiempo que los hackers tuvieron que penetrar en las cuentas sin que nadie lo supiera.

Segunda lección aprendida: cambie las contraseñas rápidamente

Esos hackers en Rusia y Puerto Rico tenían mi contraseña, pero no tenían mi teléfono. Si solo hubiera habilitado la autorización de 2 factores en mi Instagram, no habría sido tan fácil. Hay algunos trucos en línea para evitar ingresar el código que recibe por SMS o desde una aplicación de autenticación, pero todos requieren alguna acción del propietario de la cuenta. Puede ser un enlace de phishing o un correo electrónico falso pidiendo ese código con urgencia, pero no me preocuparía por eso, ya que la mayoría grita "estafa" en su cabeza de inmediato. Además, tener esa capa adicional de protección frustrará a muchos que no son tan expertos en tecnología.

Tercera lección aprendida: activar la autorización de 2 factores

En casi todos los tipos de intentos de recuperación, el acceso a su correo electrónico es importante. Es por eso que necesita mantener su correo electrónico seguro. Agregue una dirección de correo electrónico de respaldo que tenga una contraseña diferente y agregue múltiples números de teléfono y correos electrónicos si es posible. Outlook y Yahoo tienen algunas opciones bastante buenas para agregar capas adicionales de seguridad. Una opción que realmente me gusta es donde puedes desbloquear tu cuenta con un dispositivo físico como una unidad flash USB. A menos que su hacker sea un agente secreto en una misión para robar cuentas de Netflix, será bastante difícil de descifrar.

Si te preocupa que te lleve una eternidad iniciar sesión y no valga la pena, estás equivocado. En los dispositivos que usa regularmente, solo necesita iniciar sesión una vez. Y con su teléfono a su lado, todo el proceso es bastante rápido.

Cuarta lección aprendida: active todas las funciones de seguridad para el correo electrónico

Al final, aprendí que no se trata tanto de contraseñas largas y complicadas con un símbolo y demás, se trata de tener contraseñas diferentes para cada cuenta y cambiarlas con frecuencia.

Nota: Este consejo podría servir para protegerse contra cualquier gilipollas que se encuentre con una fuga de contraseña, pero no lo ayudará si alguien con habilidades de piratería de nivel de Mr. Robot quiere entrar. Para eso, salga de Internet.

Publicado originalmente en www.thiscodeworks.com.