¿Cómo me han hackeado la contraseña del correo electrónico?

Acabar con tu cuenta de correo electrónico hackeada es más fácil de lo que parece. Un mínimo descuido y, ¡zas, los malos se han hecho con tu contraseña!

¿Pero cómo ha podido pasarme a mí? ¿He cometido un error, o lo ha cometido otro?

Descubre algunas de las causas más probables que llevan a esta situación.

Has sido víctima de un ataque de phishing

¿Recuerdas algún mensaje de correo sospechoso, en el que te decían que tu contraseña se iba a bloquear si no actuabas en el momento? ¿En ese mensaje había un enlace, que llevaba a un sitio sospechosamente parecido al del remitente? ¿Escribiste tu contraseña en un formulario en esa web? Entonces, has sido víctima de un ataque de phishing: esa contraseña que tecleaste acabó en la base de datos de un «malo«.

El phishing es uno de los mecanismos por los que los cibercriminales consiguen más contraseñas de cuentas de correo electrónico.

Has utilizado para tu correo electrónico la misma contraseña que en otra web.

O, lo que viene a ser lo mismo, has utilizado en cualquier otra web la misma contraseña que tienes en el correo electrónico.

¿Recuerdas que un día te registraste en una web molona, como podría ser https://www.un-sitio-web-molon.com, y que te pidieron una dirección de correo electrónico y una contraseña? ¡No me digas que utilizaste como contraseña en esa web, la misma contraseña que tienes en el correo electrónico, que además es el nombre de usuario para acceder a esa web!

¿Te has parado a pensar que ahora el administrador de un-sitio-web-molon.com tiene el usuario y contraseña de tu cuenta de correo electrónico, porque son las mismas?

Esta es otra de las causas más frecuentes de pirateo de cuentas de correo electrónico.

Y no, no estamos echando la culpa a un-sitio-web-molon.com: es probable que los administradores de esa web sean unos chicos muy majos, organizados y responsables.

Pero, ¿has pensado qué pasa si los malos roban la base de datos de un-sitio-web-molon.com? ¡Exacto! Tienen acceso a tu cuenta en esa web, pero también a tu correo electrónico.

Repitamos juntos, una y otra vez: Nunca reutilizaré contraseñas en el e-mail.

Ningún proveedor, por grande que sea, está exento de que un día pueda tener un problema de seguridad. Procura que, si esto ocurre, las credenciales que este proveedor tiene de ti sean únicas, no repitas la misma contraseña que utilizas para el correo electrónico, para el acceso a tu banca online, etc. 

Como muestra, un botón: accede a Have I been pwned, que tiene un registro de algunos de los sitios web más importantes del mundo que algún día tuvieron un problema de seguridad y cuyas bases de datos se publicaron en algún rincón oscuro de la web. En el formulario, teclea tu dirección de correo electrónico y pulsa el botón pwned?

Si tu correo aparece en alguno de los listados, se mostrará en color rojo. ¡Aprisa, el tiempo apremia, cambia la contraseña que utilizabas en esa web!

¿Y si aparece en verde? Puede que tu contraseña esté en poder de los malos, o puede que no. Quizá un-sitio-web-molon.com no era tan grande como para formar parte de esta gran base de datos de grandes sitios pirateados.

Has utilizado tu email y contraseña en un fichero de configuración de tu web

Lo típico: tu web tiene un formulario de correo electrónico a través del que tus potenciales clientes contactan contigo. Para que el formulario funcione correctamente, el servidor de correo SMTP requiere tu email y contraseña, que acabas tecleando en un archivo config.php o similar en la web.

¿Imaginas qué ocurre si hay una vulnerabilidad en tu WordPress, o Joomla?, o ¿en el plugin que envía el correo? ¡Exacto, que estos datos en claro acaban en la cartera de los malos!

Tienes o has tenido un virus o malware en el PC

Todavía me acuerdo de aquel mensaje de correo que decía adjuntar unas fotos maravillosas de gatitos. Se me hizo un poco raro que la extensión fuera .exe en lugar de .jpg pero ¿qué podía salir mal?

Bueno, contrajiste un virus. Los malos han tomado el control de tu equipo, y son capaces de interceptar todo el tráfico de red, todo lo que tu ordenador envía o recibe en claro.

Si tienes configurado el correo electrónico en un cliente como Microsoft Outlook, Mozilla Thunderbird, etc. y no utilizas cifrado SSL, tu contraseña está en manos de los malos.

Tu contraseña era mala

Los ordenadores son cada vez más potentes. Una contraseña corta, que no tiene números, letras mayúsculas, letras minúsculas, que está compuesta por palabras comunes, que aparece en un diccionario, o que es muy frecuente, es una mala contraseña

A través de diferentes ataques como la fuerza bruta o ataque de diccionario, un malintencionado puede hacerse con tu contraseña en cuestión de segundos.