Riesgos de usar su correo corporativo para registrarse en plataformas como Netflix: práctica muy apetecida por los hackers

Expertos en ciberseguridad han advertido que el 7 por ciento de los usuarios cuyas cuentas de Roblox, Discord y Netflix fueron comprometidas entre 2019 y 2024 se habían registrado utilizando la dirección de correo electrónico de su trabajo o email corporativo.

Analistas de la compañía Kaspersky han señalado que los empleados que utilizan correos electrónicos corporativos para registrar sus cuentas personales en mercados y redes sociales aumentan el riesgo de apropiación de cuentas y amenazas a la seguridad corporativa.

Esto es lo que se destaca en un nuevo informe realizado por el equipo de Kaspersky que desarrolla el servicio integral de protección contra riesgos Digital Footprint Intelligence, publicado recientemente en el Mobile World Congress (MWC) de Barcelona.

En este documento, realizado tras recopilar una muestra de 50 empresas bancarias y buscar credenciales comprometidas en la ‘dark web’, se han compartido los principales resultados de esta investigación, así como medidas de ciberseguridad a adoptar para minimizar los riesgos de fuga de credenciales.

En su investigación, los expertos descubrieron que los empleados del sector bancario tenían más posibilidades de registrar sus direcciones de correo electrónico de trabajo en servicios de ‘streaming’, e-commerces y redes sociales. Incluso, advirtieron que estas direcciones también se utilizaron para acceder a plataformas de juego y páginas web para adultos.

El objetivo de Kaspersky para este estudio era estimar el porcentaje de usuarios que se registraron en tres plataformas de contenidos en ‘streaming’ populares (Discord, Roblox y Netflix) utilizando direcciones de correo electrónico corporativas. Como resultado, su análisis reveló que, en promedio, el 7 por ciento de los usuarios cuyas cuentas se filtraron en la ‘dark web’ entre 2019 y 2024 se habían registrado en ellas con el correo de su empresa.

Con ello, los investigadores descubrieron que en 2023 uno de cada dos dispositivos infectados por ladrones de información o ‘infostealers’ era corporativo y la mayoría de casos de infecciones se produjo en Windows 10 Enterprise. Sin embargo, en 2024 la proporción de infecciones en esta versión del sistema operativo de Microsoft disminuyó, “lo que posiblemente indique que las empresas están acelerando su migración a un sistema operativo más nuevo como parte de sus medidas de seguridad”, según la compañía.

Asimismo, para abordar este tema desde otro ángulo, los analistas también exploraron la frecuencia con la que se utilizan los correos electrónicos con dominio .edu -asociados principalmente a instituciones educativas- para registrarse en servicio de pagos de terceros. En este caso, advirtieron que lo más común es que se utilizaran para registrarse en plataformas de redes sociales y mercados.

El experto en Kaspersky Digital Footprint Intelligence Sergey Shcherbel ha puntualizado que no es conveniente registrarse en servicios de uso personal con el correo electrónico corporativo, debido a que se puede perder el acceso a ellas con un cambio de trabajo.

“Si las contraseñas se repiten de forma predecible en diferentes servicios, el riesgo de que se vean comprometidas otras cuentas, incluidas las laborales, aumenta si el correo electrónico corporativo se filtra en la dark web”, ha apuntado el analista.

Para paliar el riesgo, desde Kaspersky han aconsejado cambiar las contraseñas de las cuentas comprometidas y monitorizar la actividad sospechosa asociada con estas cuentas. Asimismo, han propuesto realizar análisis de seguridad completos en todos los dispositivos, eliminando todo el ‘malware’ detectado.

Por otra parte, considera esencial la monitorización de la ‘dark web’ por parte de las empresas para identificar cuentas comprometidas antes de que representen un riesgo para sus clientes o empleados. Por último, es importante implementar un programa de concienciación sobre seguridad para los empleados.

*Con información de Europa Press