Cuentas fantasma y nubes abandonadas: cómo auditar tu información

La información que almacenamos en servicios de nube y cuentas de correo electrónico puede convertirse en una vulnerabilidad crítica si no la gestionamos de forma activa. Desde cuentas fantasma que se crean sin nuestro conocimiento hasta nubes abandonadas con datos sensibles, los riesgos son reales y afectan tanto a personas como a organizaciones completas.

¿Por qué deberías auditar todas tus nubes y correos electrónicos?

El primer paso para proteger tu información digital es realizar una auditoría completa de cada correo electrónico, tanto personal como corporativo, y de cada servicio de almacenamiento en la nube asociado. Se recomienda dedicar entre cuatro y cinco horas continuas a este proceso y mantener siempre un respaldo en papel [00:03], ya que este material físico estará disponible incluso si los servidores caen o no hay electricidad.

Servicios como Google Drive, Dropbox y Box [01:06] merecen especial atención. Muchas veces se crean cuentas en estas plataformas de forma automática: alguien te comparte un documento, haces login con Google para descargarlo y, sin saberlo, ya tienes una cuenta de Dropbox que empieza a sincronizar archivos e incluso a respaldar tus fotos [01:25].

¿Qué sucede cuando las nubes se abandonan?

Dejar nubes sin supervisión representa un problema grave, especialmente durante el proceso de offboarding [01:47], es decir, cuando un empleado deja la organización. Se han documentado casos en los que personas:

• Dejan fotografías íntimas de compañeros en carpetas compartidas.
• Borran información corporativa de manera intencional.
• Extraen datos de la empresa a través de Dropbox sin que nadie lo detecte [02:04].

Por eso, cada vez que alguien salga de tu organización, audita toda la información almacenada en esos servicios.

¿Qué son las cuentas fantasma y por qué son peligrosas?

Una cuenta fantasma es aquella que se genera en un ecosistema digital diferente al que usas habitualmente, sin que lo solicites de forma explícita [02:18]. Por ejemplo, al unirte a una junta de Microsoft Teams o al iniciar sesión en una computadora Windows con un correo de Gmail, Microsoft puede crear una cuenta asociada a esa dirección.

Esta cuenta fantasma almacena hasta cinco gigabytes de documentos [03:06], incluyendo archivos de Office que guardas en el escritorio. El problema es que no tiene configurados factores adicionales de autenticación, y si entregas tu computadora a reparación o descuidas la seguridad, documentos financieros, contratos y actas constitutivas quedan expuestos [03:18].

¿Qué riesgos generan las licencias compartidas de Office?

Un caso revelador involucra a GoDaddy y sus paquetes de licencias de Microsoft [04:23]. Cuando compras una licencia a través de GoDaddy, obtienes cinco cuentas de Office. Lo que no se advierte es que esas cinco cuentas pueden ver la información entre sí [04:43]. No están aisladas como si compraras cada licencia por separado.

Esto significa que empleados pueden acceder a:

• Cotizaciones y contratos confidenciales.
• Presentaciones y licitaciones.
• Actas constitutivas y documentos oficiales [05:00].

Casos como Guacamaya Leaks y filtraciones de SEDENA en México [05:17] evidencian cómo correos electrónicos con políticas compartidas terminan expuestos precisamente porque los límites entre cuentas no están bien configurados.

¿Cómo evitar la acumulación de datos en cuentas olvidadas?

Uno de los vicios más comunes es crear una cuenta de Gmail nueva cada vez que recibes un teléfono Android, o una cuenta de iCloud al usar un iPhone, y luego abandonarla al cambiar de dispositivo [05:42]. Sin darte cuenta, acumulas 15 GB de fotografías, contraseñas, contactos y mensajes en cada una de esas cuentas.

El riesgo se materializa cuando una línea telefónica o cuenta de trabajo asociada se reasigna: alguien podría acceder y extorsionarte con información personal, fotografías íntimas o datos bancarios [06:07].

Lo mismo ocurre con cuentas de fabricantes como Samsung ID, Honor ID y Huawei ID [06:16], que mantienen respaldos de contactos en sus propias nubes. Los contactos terminan microfragmentados entre WhatsApp, Gmail, iCloud y la cuenta del trabajo [06:30], lo que dificulta mantener una base de datos sólida y actualizada.

¿Qué nube usar para información crítica?

Para almacenar datos verdaderamente importantes, se recomienda la nube cifrada de Protonmail [07:09], que ofrece opciones de seguridad mucho más avanzadas. Mientras tanto, es fundamental darse de baja de servicios que ya no uses y borrar periódicamente la información que no necesitas.

Si tu empresa cambia de proveedor de dispositivos, por ejemplo de Motorola a Samsung, asegúrate de eliminar los datos de todos los empleados en las cuentas del fabricante anterior. La gestión activa de tu huella digital no es opcional: es una responsabilidad constante que protege tanto tu información personal como la de tu organización.