Expertos advierten sobre el riesgo abandono de cuentas personales y estiman que cada persona tiene más de 160 contraseñas de usuarios creados

julio 23, 2025

Por: David Esteban Pinzón

Usuario y contraseña - Foto de referencia Canva

Los cibercriminales, que cada vez están más centrados en la apropiación de esas cuentas perdidas, utilizan diversas técnicas para su robo.

En la era digital es común que cada persona cree una "infinidad de cuentas en distintos servicios", según expertos, de las que muchas quedan abandonadas tras no ser utilizadas nuevamente.

Se estima que una persona tiene 168 contraseñas de cuentas personales, de acuerdo con información recogida por la compañía de ciberseguridad ESET, que advierte sobre el problema que esto puede representar.

Muchas de los casos se dan cuando se abren cuentas para una suscripción a una prueba gratuita de diferentes portales, o para usar una aplicación que se descarga solo para usar durante un período específico, como unas vacaciones.

Todas esas cuentas abandonadas que muchas veces ni se recuerdan tener, sin embargo, representan un riesgo para la seguridad tanto desde el punto de vista personal como laboral y son un objetivo atractivo para los ciberdelincuentes, por lo que se hace fundamental revisarlas para mantener la vida digital bajo control.

Uno de los investigadores de ESET, Camilo Gutiérrez, advierte sobre las muchas razones por las que los usuarios pueden tener un gran número de cuentas "olvidadas e inactivas", de las que se pueden recibir cientos de ofertas especiales diarias y nuevos servicios digitales.

"A veces, la única forma de comprobarlos es registrarse y crear una cuenta nueva. Pero somos humanos: nos olvidamos, nuestros intereses cambian con el tiempo y a veces no recordamos los inicios de sesión y seguimos adelante. A menudo es más difícil eliminar una cuenta que dejarla inactiva. Sin embargo, eso puede ser un error y representar un peligro para nuestra información", dijo Gutiérrez en un comunicado difundido por la compañía.

Para Google las cuentas que llevan mucho tiempo inactivas tienen más probabilidades de verse comprometidas y de que sus credenciales sean utilizadas si fueron filtradas en alguna de las brechas de información históricas. "Las cuentas abandonadas tienen al menos 10 veces menos probabilidades que las activas de tener configurada la verificación en dos pasos".

Los cibercriminales, que cada vez están más centrados en la apropiación de esas cuentas perdidas, utilizan diversas técnicas para su robo, expuestos por ESET.

'Malware Infostealer', es uno de ellos y está diseñado para robar los datos de acceso, por otro lado también está el el 'Credential Stuffing', en el que los hackers introducen las credenciales filtradas en software automatizado, y, finalmente, también son implementadas las conocidas técnicas de fuerza bruta, en las que los ciberdelincuentes utilizan el método de ensayo y error para adivinar las contraseñas.

Las consecuencias en caso de que el atacante se haga con alguna de las cuentas abandonadas van desde utilizarla para enviar spam y estafas a los contactos o lanzar ataques cibernéticos a nombre del titular, así como buscar información personal o datos guardados de tarjetas que pueden utilizar maliciosamente.

Otros de los riesgos son la venta de la cuenta en páginas ilegales o vaciar la cuenta de fondos, si se trata de una criptowallet o una cuenta bancaria. En el Reino Unido, se estima que podría haber 82.000 millones de libras esterlinas (109.000 millones de dólares) en cuentas bancarias, de sociedades de construcción, de pensiones y otras cuentas perdidas.

Cabe resaltar que las cuentas inactivas de empresas también son un objetivo atractivo, pues podrían facilitar el acceso a datos y sistemas corporativos confidenciales. Los criminales podrían robar y vender estos datos o llegar incluso a pedir un rescate por ellos.

Es importante precisar que algunos proveedores de servicios como Google, Microsoft y X, buscan mitigar los riesgos mencionados cerrando automáticamente las cuentas inactivas al cabo de cierto tiempo para liberar recursos informáticos, reducir costos y mejorar la seguridad de los clientes.

De igual forma, es importante que el usuario adopte algunas medidas preventivas para evitar cualquier daño, tales como las propuestas por ESET que consisten en realizar auditorías periódicas y eliminar las cuentas inactivas, así como chequear el gestor de contraseñas y comprobar las políticas de eliminación del proveedor de la cuenta para asegurarse de que esta se puede borrar definitivamente.

Asimismo, expertos aconsejan, además ser precavido con las redes de wifi públicas a las que el usuario se conecta y los enlaces de dudosa procedencia, tomarse el tiempo de contemplar si es necesario abrir cada cuenta y, si es posible, activar la autenticación de dos pasos, de modo que, aunque una persona consiga la contraseña, no podrá poner en peligro la cuenta.