Te cuento mi caso, recibí notificación de la intrusión y cambiamos la contraseña a una segura en 5 min. Nada de fechas, nada de cosas que se puedan descubrir fácilmente. Tras eso, accedieron (insisto, no soy informática) a la cuenta google y de alguna manera, filtraron todos los emails de intrusión que contuvieran una palabra determinada. Por supuesto no teníamos la doble autentificaron, culpa nuestra...usamos el cinturón a mitad.
Supongo que porque has reusado una contraseña en algún otro sistema que han podido comprometer. Suele ser el método de entrada más sencillo. Imagíante, hackean una bbdd de tu comapía de la luz (o de cualquier otro sitio menos seguro que tu proveedor de correo) y de ahí obtienen la contraseña, que casualidad es la misma que usas en un montón de sitios (suele pasar), o sigue un patrón muy sencillo de identificar. Sin correo y teléfono de recuperación, no hay notificaciones, y las únicas que llegan son las que van al mismo correo, que con un poco de suerte pueden borrar como atacante antes si quiera que le lleguen al afectado (el filtro que comentabas). Si además no tienes doble autenticación, van hasta la cocina con una única password. Recomendaciones para el correo:
- Password fácil de recordar pero compleja de adivinar. Mezcla letras, números, signos de puntación, mayúsculas, minúsculas, y como poco de 10 o 12 caracteres. IMPORTANTE: jamás reuses esa password para nada más. No la metas como recordada en ningún navegador o sistema de almacenamiento de claves. Es la única clave realmente importante, trátala como tal.
- Correos y teléfonos de recuperación vinculados: son notificados, al igual que tu cuenta principal cuando hay un acceso simplemente fuera de lo normal (ni si quiera tiene porqué ser ilegal). El ejemplo más fácil es el primer login que haces desde un navegador que no es habitual (trabajo, ordenador de un compañero, etc).
- 2FA: google authenticator o cualquier otro generador de claves temporales pseudoaletorias. Son numeritos que van cambiando cada x segundos, tipo las antiguas llaves RSA. Vincula tu dispositivo principal a tu cuenta, tal que nuevos inicios de sesión deban aprobarse desde la app de gmail. Añade un par de teléfonos de recuperdación (tuyo principal y el de una persona de confianza, tu pareja, por ejemplo; o teléfono personal + teléfono de trabajo) y crea un set de códigos de seguridad perpétuos, para cuando pierdas el móvil no te quedes tirada sin acceso a la cuenta.
- Intenta conceder cuanto menos accesos a terceros posible con tu cuenta de google. Suelen ser APPs menos seguras que necestian el login de tu cuenta para funcionar. Esta contraseña no te da acceso completo, pero sí que puede impersonar tu correo. A unas malas, has barrida cada cierto tiempo, y quita todos los permisos a terceros que haya vinculados en tu cuenta. Te tocará volver a configurar la cuenta en más de un sitio, pero así te aseguras de no tener nada viejo por ahí.
- Revisa de cuando en cuando si tu correo o tu número de teléfono ha aparecido en alguna filtración masiva de datos en have I been pwned. Si aparece, es momento de pegarle una barrida a la contraseña de correo y cambiarla. Y yo incluso reinstalaría desde cero mi smartphone.
Duplicado de sim, pues mi compañía es digi, y ojo, no digo que no pidan el dni, digo que la autentificacion que realizan se queda bastante corta......y de alguna manera, con un dni falsificado, le dieron una sim, me gustaría saber con que dni, pero no guardan documentación, otro cinturón a mitad!y no mandan ningún tipo de aviso de ese duplicado.
Yo directamente les denunciaría por tener una política de protección de datos de mierda. Plantéate incluso cambiar de compañía, llegado el caso. ¿Te imaginas la que pueden liar, si alguien de dentro (trabajador de la compañía) está metido en el ajo? Y, esto que parece que sólo sale en las películas, es mucho más frecuente de lo que aparenta.
Te puedes imaginar, a partir de aquí, el calvario que supone lo que pueden llegar a hacer.
Me hago perfectamente a la idea. El correo es la master key. Accediendo a él y leyendo un par de meses atrás tu correo, sé identificar tus proveedores de servicios, dónde gastas tu dinero (y por ende dónde tienes tus cuentas bancarias), en dónde te gusta pasar tu tiempo libre, tu ocio, tus redes sociales, etc etc etc. El correo es la pieza clave para hacerte polvo si quieren. Y un sim swap no es más que la punta de lanza, para la que pueden llegar a liar.
Y no, no subestimo el trabajo que hará alguien con toda su buena fe del mundo y muchas horas de trabajo, creo que tú subestimas lo que alguien mal intencionado puede hacer si tiene altos contenidos en informática a cualquier hijo de vecino. No es imposible, ni algo fácil, entiendo que buscaran la brecha para poder entrar, pero la realidad es que desde 2020, este tipo de timos están siendo bastante comunes...en España.
No, créeme que no lo subestimo. Pero sí creo que las herramientas para prevenirlo están ahí, y simplemente hay que saber usarlas bien. Tal y como para conducir un coche tienes un carnet, para llevar un ordenador encima (como comentaba antes un compañero, los teléfonos son eso hoy en día), deberíamos tener unas bases mínimas de conocimiento, y algo de cultura de seguridad, cosa de la que carecemos en este país (hablando en términos generales). Normalmente nos conformamos con ponerle la misma contraseña a todo
"y que funcione el guasa"
No digo con esto que sea tu caso concreto, puesto que me creo que tuvieras cierto cuidado antes de esto, y por descontado lo vas a tener de aquí en adelante. La pena es que, como tú o mucho más laxos con el tema, habrá cientos de miles. Y no, no es algo de 2020. El sim swap existe desde hace más de 10 años, solo que antes no le sacabas tanto partido como ahora. Créeme que, por ejemplo los bancos, están muy al loro de estas prácticas, y muchos de ellos implementan métodos para prevenir el
sim swapping. Porque te puedes imaginar la que se puede liar con el tema, de ahí que los bancos estén abandonando el SMS como 2FA, puesto que no es considerado seguro (hay hasta malware para interceptar este tipo de mensajes sin que si quiera tu teléfono llegue a sonar, te puedes imaginar si el tema está avanzado...)
No obstante, si yo no he descargado nada, no le he dado a ningún email fuera de lo normal, ni he hecho descargas inadecuadas, no me conecto en redes wifi que no sean mi casa, no publico mis datos y no doy mis credenciales a nadie, ¿cómo han podido hacerlo? Agradecería todas las ideas que se te puedan ocurrir, porque la paranoia de la que hablas, la llevo en la cabeza a todas las horas, y es una auténtica @&€€@@€€!”.
Pues se me ocurren dos: o por la vía que te dije al principio, (obtención por haber comprometido un sistema más débil), o por factor humano. Y, si es por lo segundo, puedes der desde un descuido, a alguien malintencionado que te conoce muy bien y tiene acceso a, por ejemplo, impersonar tu DNI.
Resumiendo: tenemos que tomar conciencia de que somos el eslabón más débil en la cadena de seguridad, y de que las herramientas de seguridad que nos brindan las APPs o cualquier proveedor de servicios están para usarlas. Y, aún así, nadie te podrá asegurar nunca que su sistema es seguro. El concepto de seguridad plena o sistema inexpugnable no existe.
Saludos!
www.latribunadealbacete.es
