Imagina que una mañana te despiertas tan tranquilo como cualquier otro día, enciendes tu smartphone y recibes un mensaje diciéndote que se han realizado dos cargos en tu cuenta de Uber correspondientes a dos viajes en taxi en Moscú que has hecho mientras estabas dormido. La primera reacción será ponerte en contacto con la compañía e informar de que tu cuenta ha sido hackeada. Pero… ¿qué ocurre si Uber te dice que no hay constancia de que nadie haya hackeado nada y que los taxis han sido pedidos por alguien que ha entrado con las credenciales correctas?

Este escenario de pesadilla se viene dando de manera habitual entre un número creciente de usuarios cuya primera reacción es acusar a las compañías de haber cometido fallos de seguridad. Pero ¿y si el fallo de seguridad lo han cometido ellos?

El podcast Reply All ha tratado recientemente en profundidad y su investigación ha arrojado luz sobre las causas de estas suplantaciones digitales. Después de ponerse en contacto con empresas como Uber, han verificado que no ha existido ningún tipo de brecha de seguridad en sus sistemas. Así que han seguido buscando posibles explicaciones y la respuesta la encontraron en uno de los lugares más misteriosos de la red, la denominada Dark Web.

La Dark Web o Red Oscura es una especie de Internet clandestino que sólo es accesible usando software especializado y que está, en gran medida, fuera del alcance la ley. Uno de los periodistas de investigación de Reply All se adentró en esta red y encontró varios foros en los que se podían comprar datos de acceso a cuentas de distintas plataformas digitales, entre ellas Uber. La pregunta es ¿cómo han conseguido los ciber-criminales estos datos?

La respuesta, después de varias indagaciones, es muy sencilla. Cuando los ciber-criminales consiguen acceder de manera fraudulenta a la base de datos de cualquier servicio online como por ejemplo hicieron con Yahoo o LinkedIn por citar algunos de los casos más sonados, se hacen con datos de acceso a cuentas (nombre de usuario y contraseña) que no sólo sirven para acceder a una cuenta sino a muchas, por la costumbre de usar una misma contraseña para varios servicios.

Existen programas que prueban estos datos de acceso de manera automática en múltiples servicios como por ejemplo Uber. Si los datos resultan coincidir, el ciber-criminal sabe que tiene en su poder una cuenta que puede vender o utilizar él mismo.

Es fundamental que no se use la misma contraseña para varias cuentas digitales, pero por comodidad muchísima gente sigue haciéndolo. A consecuencia de ello, somos mucho más vulnerables a este tipo de amenazas.

Una manera de manejar nuestros datos de acceso de una manera sencilla y al mismo tiempo ser capaces de crear contraseñas seguras y distintas es el uso de gestores de contraseñas como por ejemplo LastPass. Estos gestores de contraseñas no nos dan una seguridad total pero sí hacen más difícil que nuestros datos se vean comprometidos por la repetición de contraseñas.