Pocos saben la cantidad de información que almacena su cuenta Google, que va mucho más allá de todos los correos que haya enviado, recibido o tenga en borrador. Esta cuenta también almacena cada uno de los desplazamientos que hace el portador del teléfono, todos los días, a menos que haya deshabilitado esa función en la sección "Seguridad", cosa que muy pocos hacen.
También almacena fotos, el contenido de su Google Drive, las direcciones de correo y teléfono de todos sus contactos y muchas más cosas dependiendo de los servicios que el usuario haya habilitado.
En resumen, si un tercero -malintencionado o curioso- llega a tener acceso a tu cuenta Google puede hacer en tu nombre cosas que ni te imaginas. Es un tesoro para cualquier delincuente, policía, o simplemente un pelmazo que quiere jactarse de ser un "hacker".
Por eso les quiero contar como fue que se tomaron mi cuenta y como pude recuperarla. Todo empezó cuando recibí un correo de un usuario de Google Fotos llamado Rid Red, que quería compartirme unas fotos
Todo parecía normal, el correo era legítimo enviado desde Google y -pensando que era algún amigo- hice clic en el botón "Ver fotos". Tremendo error de principiante, al hacer clic me mostró unas fotos mías, pensé "bah, que raro" y me olvidé del asunto.
Al día siguiente recibí otro mail de Google y este si que me inquietó, decía así 
Ese si que no era yo, alguien había abierto una sesión de Google con mi contraseña. Me fui corriendo a "Comprobar actividad" y anulé el proceso, después fuí y cambié la contraseña y pensé que con eso estaba listo. Ni me imaginaba que vendrían dos días completos de ajustes para poder recuperar mi cuenta,
Encendí entonces el laptop Lenovo a ver si podía entrar con la nueva contraseña a la cuenta de Google: el resultado es que fui rechazado por contraseña incorrecta, pensé que tal vez estaba usando la contraseña antigua almacenada en el browser así es que tipié la nueva a mano, de nuevo contraseña incorrecta.
¡Ya no podía abrir sesión en ninguna parte y dependía solo de la sesión que tenía abierta en mi equipo principal! Si apagaba ese equipo quedaba fuera de mi cuenta Google para siempre, sin la posibilidad de volver a entrar ni usar ninguno de sus servicios.
Entre todo esto, veo el siguiente aviso 
O sea el intruso además había abierto la puerta a mi cuenta de Google a través de Facebook. Muy alarmado recurrí a Gemini para ver modo de arreglar el problema.
La cosa estuvo muy difícil porque cualquier error me habría dejado fuera definitivamente. Además aprendí que Google tiene un sistema -automatizado- que monitorea la actividad de cada sesión para determinar si es legítima o maliciosa.
Si uno hace demasiados cambios o intenta ingresar y falla más de tres veces, la sesión entra en estado de alarma y empieza a demorar todo y a poner dificultades. Cada cosa que se haga allí debe ser con extremo cuidado.
El peor escenario es cuando el sistema automático nos deja fuera de la sesión por falta de confianza. En ese caso hay que entrar a reclamar con seres humanos de soporte y tengo amigos que han pasado por eso dicen que es un infierno de burocracia y requisitos para recuperar el acceso.
Lo mejor es convencer al sistema automático que somos nosotros los de confianza y no el intruso que nos está atacando. La situación es que hay dos sesiones abiertas simultáneamente: una buena y una mala y las dos pelean por tomar el control total de la cuenta con la confianza de Google.
Yo estaba totalmente superado en conocimientos en este caso así es que me puse en manos de Gemini, con quien estuvimos dos días haciendo la auditoría y los ajustes para deshacer todo lo que estaba haciendo el malandra.
En este documento transcribí todo el procedimiento que ocupa más de 50 páginas. Supongo que es muy aburrido para leerlo completo, pero recomiendo que lo descarguen para que sepan qué hacer y qué no hacer en caso que tengan que pasar por una recuperación de cuenta.
En pocas palabras, siempre hay riesgo que nos roben las contraseñas y las cuentas y normalmente cuando lo hacen es por algún error estúpido de phishing o ingeniería social.
1. La primera precaución es nunca, nunca, jamás hacer clic en el botón de un correo, aunque sea de un remitente legítimo, o que estén perfectamente seguros del remitente y de lo que están haciendo .
Si revisan la carpeta de spam probablemente verán que está llena de mensajes de DHL, Chilexpress y otras por el estilo diciendo cosas como "fuimos a dejar un envío y no lo encontramos, haga clic aquí para más información". Si se les ocurre hacer clic están fritos.
2. lo segundo, si aparece un mensaje de Google que dice "Se ha iniciado un archivado de datos programado para..." y ustedes no han pedido ningún takeout, alerta máxima, vayan enseguida a seguridad de Google y desactiven ese archivado y cualquier otro que haya programado.
3. luego activen la seguridad de acceso en dos pasos, ingresen su teléfono, cambien la contraseña y confirmen el cambio con el botón "Si, soy yo" en su celular.
4. Si les llega un mensaje "se ha concedido acceso de su cuenta de Google a Meta" vayan enseguida a seguridad y desactiven el acceso de Facebook a Google. de paso desactiven todos los accesos que aparezcan en esa lista, es lo más seguro.
5. lo más importante, vayan a seguridad e inicio de sesión, hagan scroll hasta abajo y entren en códigos de verificación alternativos, deberían aparecer 10 números de 8 dígitos cada uno. Copien esos números en una libreta y guárdenlos como hueso de santo (no usen imprimir ni descargar, copien a mano)
Esos números les permitirán entrar en su cuenta a todo evento, aunque les hayan cambiado la contraseña. Y no caducan nunca, pueden durar años y son su mejor seguro de vida. Cuando pide contraseña buscan "ingresar por otro medio" hasta que encuentren la opción "usando los códigos alternativos" o algo así.
Cada uno de esos códigos les permiten una entrada, lo usas y caduca. Si no aparecen en verificación de códigos alternativos usas una opción "generar códigos" o algo así. Tener esos códigos y guardarlos en una libreta bien segura es la mejor protección que hay.
Bueno, todo este tema lo he puesto y repetido porque creo que puede ser algo muy importante de saber en algunos casos. Cada vez dependemos más de la cuenta de Google así es que vale la pena conocer bien como funciona el sistema de seguridad.
Y para encontrar al maldito malandra lo único que tengo es su nombre de usuario "Rid Rrd" ya está borrado de Google Fotos pero Internet tiene memoria y encontré 24 personas que han usado ese nombre de usuario en el pasado incluyendo un pakistaní, un chileno y otros más.
Cuídate maldito, que tengo buena memoria, soy rencoroso y te estoy buscando.
Siendo alguien que pasó por sustos parecidos (con una cuenta de Apple que la usaron para registrar equipos), comencé a tomar algunas medidas. Como ya había dejado de usar Mac hace 8 años y ahora uso full Linux, opté por borrar la cuenta.
ResponderBorrarHe notado intentos de ingresar a mi cuenta de Meta/Fb, registrada con una cuenta GMail que ya no uso, por lo que estoy en proceso de crear otra casilla de correo exclusivamente para Meta y borrar la cuenta antigua.
Otras ideas que se me ocurren son las de mantener el SO Y navegadores siempre actualizados y usando las versiones oficiales para hacer login en mis cuentas.
(Ej. Firefox y Chrome oficial en vez de compilaciones hechas por terceros), a lo más las versiones de desarrollo Firefox Nightly y Chrome Canary o las compilaciones de Chromium.
Además, nunca usar una cuenta Google principal con un teléfono Android con más de 4 versiones anteriores a la actual (Desde Android 12 o 13 en adelante al día de. hoy), o mejor dicho, smartphones con más de 5 años de antigüedad. En ese caso es mil veces preferible darle otro uso al equipo viejo, aligerándolo con un Debloater, desactivado Google Play Services e instalando F-Droid para usarlo con Apps libres o bien mantener Play Services pero bajando Aurora Store para instalar las apps de la Play Store. Obviamente en ninguno de estos últimos casos recomiendo acceder con la cuenta Google ni en ninguna otra app a menos que sea una segunda cuenta para usar sólo para el smartphone viejo (sin Play Services no es necesario porque no servirá y con Play Services mejor que no, por la antigüedad del equipo).
En mi caso tengo entre mis teléfonos más viejos uno con Android 10 al cual sólo lo tengo con F-Droid y sin ninguna cuenta Google agregada, eso me permite tenerlo listo para ciertas situaciones y no perder nada importante si se me queda en la calle o lo roban.
Si, es muy conveniente tener todo actualizado. lo malo es que la gran mayoría de las veces consiguen entrar en nuestra cuenta usando phishing, ingeniería social y cosas así contra las cuales no hay defensa tecnológica, Ese fue mi caso
BorrarHola,
ResponderBorrarDice que el "correo era legítimo enviado desde Google", y al hacer click empezó el problema.
Pero no entiendo qué es exactamente lo que pasó, si le instalaron un programa para robar claves, ¿Identificó cual es?
Lo otro, si un tercero accede a su cuenta, ¿no podría copiar también los "códigos de verificación alternativos", ?
Según el análisis de Gemini "Cómo entraron: Probablemente mediante el robo de "cookies de sesión" (gracias al keylogger o un malware similar). Esto permite saltarse la contraseña y el segundo paso porque el sistema cree que eres tú en tu propio computador", lo más seguro es que cuando aceptçe ver las fotos, de alguna manera me robaron la cookie de sesión y usando esa pudieron entrar a mi cuenta.
BorrarAllí quedaron dos sesiones abiertas en las que Google confiaba; la de él y la mía, entonces empezó el conflicto, porque mientras yo anulaba el otro tomaba el control por otro lado"• El peligro: Al conceder acceso a "Meta", el atacante pudo haber usado las herramientas de importación de Facebook para copiar todas tus fotos de Google Fotos a una cuenta externa de manera automática"
Además hizo continuos intentos de recuperar los códigos de verificación alternativos -para los que Google pide confirmación adicional aunque esté la sesión abierta.
EL problema fue que ni yo ni el atacante podíamos conseguir los malditos códigos y el sistema de Google al ver la pelea, nos congeló a ambos.
Finalmente encontré en una libreta los 8 códigos válidos de hace 2 años atrás, que afortunadamente los tenía anotados, probé el primero y ya no era válido, pero el segundo ya me funcionó y con eso pude empezar a recuperar el control de mi cuenta.
"Finalmente encontré en una libreta los 8 códigos válidos de hace 2 años atrás, que afortunadamente los tenía anotados, probé el primero y ya no era válido, pero el segundo ya me funcionó"
BorrarEso fue lo que lo salvo. ¡Uf el susto grande!
¡Lo felicito!
De no haber encontrado esos códigos ya no tendríamos Templo del Ocio ¡me salvé por un pelo!
BorrarYo estoy tentado de comprar un par de Nitrokeys o Yubikeys, pero como dices, frente a la ingeniería social solo sirve la precaución.
ResponderBorrarMás detalles:
https://en.wikipedia.org/wiki/YubiKey
https://en.wikipedia.org/wiki/Nitrokey
Andrés
Sin duda, la precaución es lo más importante y nunca es demasiada. Esta es una de las pocas cosas en que vale la pena ser algo paranoico.
Borrar