Cuentas fantasma: qué son y cómo se crean sin saberlo
Clase 16 de 20 • Curso de Ciberseguridad Preventiva
Contenido del curso
Seguridad de Accesos
Protección de Correos y Redes Sociales
Seguridad de Dispositivos y Cuentas Personales
Nubes e Identidad en Tiempos de IA
Resumen
La información que almacenamos en servicios de nube puede convertirse en una vulnerabilidad crítica si no la gestionamos de forma activa. Desde cuentas fantasma que se crean sin nuestro conocimiento hasta respaldos automáticos que sincronizan fotos y documentos sensibles, existen riesgos reales que afectan tanto a personas como a organizaciones. Conocer estos puntos débiles es el primer paso para protegerte.
¿Por qué es urgente auditar tus nubes y correos electrónicos?
El proceso de auditoría digital consiste en revisar cada cuenta de correo electrónico, tanto personal como corporativa, y rastrear qué servicios de almacenamiento en la nube están vinculados a ellas. Se recomienda dedicar entre cuatro y cinco horas seguidas para realizarlo de forma completa y siempre mantener un respaldo en papel [0:03]. Ese material físico garantiza acceso a la información incluso si los servidores fallan o no hay electricidad.
Servicios como Google Drive, Dropbox y Box [1:16] suelen crear cuentas de forma automática. Basta con que alguien te comparta un documento: al abrirlo y hacer login con Google, se genera una cuenta de Dropbox que quizás nunca solicitaste. Si además instalas la aplicación en tu computadora, esta puede empezar a sincronizar fotos y archivos sin que lo configures intencionalmente [1:30].
Quienes nacieron en la generación millennial acumulan registros en plataformas que ya no existen o no usan, como Live Journal [0:52]. Esos historiales siguen activos y, si alguien obtiene acceso al correo original, toda esa información queda expuesta.
¿Qué riesgo representan las nubes abandonadas en el offboarding?
El proceso de offboarding se refiere a la salida de un colaborador de una organización [1:52]. Cuando alguien deja la empresa y sus cuentas de nube siguen activas, puede ocurrir que por venganza se dejen fotografías íntimas de terceros, se borren archivos a propósito o se extraiga información corporativa a través de Dropbox sin que nadie lo detecte [2:02]. Auditar esos accesos antes de cerrar el vínculo laboral es indispensable.
¿Qué son las cuentas fantasma y cómo se generan?
Las cuentas fantasma son perfiles que se crean en plataformas sin que el usuario lo solicite de forma explícita [2:22]. Un ejemplo claro: al unirte a una junta de Microsoft Teams o hacer login en una computadora Windows con un correo de Gmail, Microsoft genera automáticamente un perfil asociado a esa dirección. Este perfil puede almacenar hasta cinco gigabytes de documentos del escritorio y de Office [3:10].
- No tienes un correo de recuperación independiente.
- Documentos financieros, contratos y actas constitutivas pueden guardarse ahí sin tu consentimiento.
- No cuentan con un segundo o tercer factor de autenticación [3:28].
Para abogados y contadores, esto es especialmente crítico porque manejan información confidencial de terceros.
¿Qué pasa con la googlificación de dominios y las licencias de GoDaddy?
Algunas empresas crearon cuentas de Google con su propio dominio corporativo para aprovechar el almacenamiento de Drive sin estar integradas formalmente al entorno de Google Workspace [3:52]. Google ha notificado que esta googlificación de dominios no integrados desaparecerá a finales de 2026 [4:16]. Aunque pagues almacenamiento extra, si tu dominio no forma parte del ecosistema oficial, enfrentarás una crisis de migración de datos.
Por otro lado, GoDaddy ofrece licencias de Microsoft en paquetes de cinco cuentas [4:52]. El problema es que esas cinco cuentas comparten visibilidad entre sí: un empleado puede ver cotizaciones, licitaciones y actas constitutivas del dueño [5:20]. No están separadas como licencias individuales. Este error de configuración se ha vinculado a filtraciones como las de Guacamaya Leaks y documentos de SEDENA en México [5:42].
¿Cómo evitar acumular cuentas innecesarias en cada dispositivo?
Uno de los vicios más comunes es crear una cuenta de Gmail con cada teléfono Android nuevo o una cuenta de iCloud al usar un iPhone, y luego abandonarlas al cambiar de dispositivo [6:08]. Esas cuentas acumulan hasta 15 GB de fotografías, contraseñas, contactos, mensajes y datos bancarios.
- Si se reasigna una línea telefónica vinculada a ese correo, alguien podría acceder y extorsionarte [6:30].
- Cuentas de Samsung ID, Honor ID y Huawei ID también generan respaldos en sus propias nubes [6:40].
- Los contactos terminan microfragmentados entre WhatsApp, Gmail, iCloud y el trabajo [6:55].
Es fundamental darse de baja de servicios que ya no se usan, especialmente cuando las empresas cambian de proveedor de equipos y los datos de empleados quedan almacenados en nubes anteriores [7:10]. Para información realmente crítica, se recomienda utilizar la nube cifrada de Protonmail, que ofrece opciones de seguridad mucho más avanzadas [7:25].