Ese momento de extrañeza al abrir tu cuenta de Netflix y ver un perfil con un nombre que no reconoces, o una serie en «Seguir viendo» que jamás has empezado, es una señal de alarma que la mayoría ignora. Lo achacamos a un fallo de la plataforma, a un sobrino que usó la tele o a un amigo al que le dejamos la clave hace meses. Pero la realidad puede ser mucho más inquietante y organizada. Existe un submundo de ‘okupas digitales’ que no necesitan ser genios informáticos para colarse en tu salón virtual, y lo hacen explotando un único y extendido punto débil: nuestra propia pereza con las contraseñas.
Lo que parece un simple incordio es en realidad la punta del iceberg de un problema de seguridad masivo que afecta a millones de usuarios de servicios de vídeo bajo demanda. Estos intrusos no entran adivinando tu fecha de nacimiento; utilizan métodos semiautomatizados que aprovechan la información robada en otros lugares de internet. ¿La mala noticia? Tu cuenta podría estar siendo vendida en este mismo momento en un foro clandestino por un par de euros. ¿La buena? Protegerse es mucho más sencillo de lo que crees, pero requiere entender cómo actúan estos ciberdelincuentes y cambiar un mal hábito que casi todos tenemos.
3CREDENTIAL STUFFING: EL ARMA SECRETA QUE USA TU PROPIA PEREZA EN TU CONTRA
Aquí llegamos al meollo de la cuestión: ¿cómo consiguen tu contraseña? El método más extendido no es un hackeo directo a Netflix, que tiene sistemas de seguridad muy robustos. Se llama «Credential Stuffing» o, en castellano, «relleno de credenciales». La técnica es perversamente sencilla. Los ciberdelincuentes obtienen bases de datos masivas con millones de combinaciones de correos y contraseñas que han sido robadas de otras páginas web menos seguras (un foro, una tienda online, una vieja red social que ya ni usas). Y aquí es donde entra en juego nuestra pereza.
Luego, utilizan un software, una aplicación automatizada, que prueba sistemáticamente esas millones de combinaciones en la página de inicio de sesión de servicios populares como Netflix, Disney+ o Spotify. El programa va rellenando los campos de usuario y clave una y otra vez, a una velocidad vertiginosa, hasta que una combinación funciona. No es magia, es estadística. Si usas la misma contraseña para todo, el día que una de esas webs secundarias sufra una fuga de datos, todas tus cuentas estarán en peligro. El atacante no te ha hackeado a ti, simplemente ha encontrado una llave que tú mismo dejaste bajo el felpudo y que abre un montón de puertas.
