En el entorno digital actual, la seguridad de nuestras cuentas es esencial. Todas las semanas nos informan de nuevos casos de cuentas de Facebook, Instagram y Google Ads hackeadas. Los daños van desde la pérdida de los perfiles y los seguidores acumulados con el tiempo, a consumos exorbitantes en campañas para terceros, hasta extracciones en otras aplicaciones como Binances o wallets virtuales.
Ante esto, blindarse completamente es imposible, pero disminuir los riesgos es indispensable. En esta nota repasamos algunas de las estrategias que utilizamos para reducir todo lo posible, los riesgos de sufrir ataques informáticos. A modo de adelanto conceptual, la seguridad es siempre una estrategia que busca aumentar el esfuerzo necesario para lograr el acceso indeseado.
¿Qué es y cómo funciona la Doble Verificación?
Acceder a un espacio privado como un mail, o aplicación requiere la mayoría de las veces de un usuario y contraseña. Bajo esta modalidad de acceso, cualquier persona que consiga esos datos, podrá ingresar.
La doble verificación (2FA) añade una capa adicional de seguridad al proceso de inicio de sesión. Además de tu contraseña, necesitas un segundo factor de autenticación, que suele ser un código enviado a tu teléfono móvil o generado por una aplicación de autenticación como Google Authenticator.
De esta manera, si alguien consigue tus datos de acceso, no podrá ingresar hasta no validar con el mecanismo establecido, que el dispositivo desde el que quiere acceder esté verificado. Es decir, sólo desde una sesión abierta con doble verificación en un dispositivo verificado, puede habilitarse una sesión en un dispositivo nuevo.
¿Cuáles son los posibles riesgos de la Doble Verificación?
Si alguien consigue acceso a un dispositivo verificado (tu celular desbloqueado por ejemplo o el control desde remoto de tu pc), y allí encuentra tu usuario y contraseña podría ingresar. Por supuesto también podría hacerlo sin la doble verificación, sólo mencionamos que no es infalible.
Otro punto a mencionar, es que dado que una vez establecido el mecanismo, sólo puede habilitarse desde un dispositivo verificado, si pierdes el acceso a esos dispositivos o al único que habías verificado, va a ser complejo sino imposible, volver a ingresar a tu cuenta.
Otras formas alternativas de seguridad:
Además de la autenticación provista por Google, existen otras soluciones similares de otras compañías. Existen también las soluciones físicas, llaves que se conectan a los dispositivos y que validan todos las operaciones seguras. Son tal vez las más inviolables, aunque incómodas y riesgosas si llegan a perderse.
Algunas medidas adicionales en equipos de Marketing:
En Digital JUMP usamos gestores de contraseñas casi desde nuestros orígenes. Llamennos paranoicos pero siempre que veíamos tablas con usuarios y contraseñas temblábamos. Los gestores de contraseñas son herramientas donde las contraseñas se comparten entre usuarios que deben validar constantemente sus permisos (con 2FA por supuesto). De esta manera, si un miembro ingresa, se le conceden los permisos, si deja de colaborar con la empresa, los pierde. Y nadie anda cortando y pegando usuarios y passwords en espacios que quedan para siempre. Por otro lado es más fácil encontrarlas y acceder a los espacios de una manera directa, simplemente clickeando en el acceso. Por último el autocompletar del explorador es súper cómodo, y nos permite no tener que recordar ni buscar.
Por supuesto, nada es infalible, pero vemos mejores capacidades de gestión y muchísima más seguridad en estas soluciones. Sólo por mencionar las últimas 2 que usamos: LastPass y 1Password.
Casos de hackeos en Google Ads:
Ya son dos los Partners de Digital JUMP que sufrieron el hackeo de su mail. Ambos tenían en esos mails permisos en sus cuentas de Google Ads, así que a partir del mail, los hackers lograron acceso a la plataforma publicitaria y crearon allí campañas a destinos de terceros consumiendo el presupuesto de estos. Afortunadamente uno de ellos funcionaba con crédito anticipado, por ende cuando se consumió se detuvieron y pudimos desactivarlo con daños menores. En el otro caso, ya habíamos seteado reglas que nos alertaban de consumos elevados, y apenas vimos el primer gasto, actuamos.Por supuesto siempre hay daños, pero por suerte y algunos recaudos, en estos casos fueron menores.
Casos de hackeos en Business Manager:
Si bien no tuvimos que sufrir este tipo de situaciones con nuestros Partners, sí supimos de casos, donde similar a lo que sucede en Google Ads, los presupuestos o métodos de pago asociados a las cuentas publicitarias, son utilizados por terceros. También hemos sabido de casos donde desde el hackeo del BM lograron quedarse con el control de perfiles y cuentas de Instagram.
Casos en Facebook e Instagram:
Afortunadamente no padecimos aún el hackeo de ninguno de nuestros perfiles ni de los Partners que gestionamos. Sin embargo recibimos consultas muy habitualmente, de empresas que perdieron el control de sus accesos. En la mayoría de los casos, llegan a nosotros cuando ya lo han intentado todo, y desde lo legal, los recursos para actuar son pocos y débiles. Desgraciadamente en esos casos, la pérdida es grande, proporcional al tamaño e involucramiento de la comunidad que había desarrollado.
Cómo activar la doble verificación:
En cada aplicación, en la parte de configuración o accesos encontraremos la opción de activar la doble verificación. Habrá que seleccionar el método, nosotros recomendamos el Google Authenticator.
Conclusión
Implementar la doble verificación es una medida esencial para proteger tus cuentas de marketing digital. Hay otros métodos también si este no te convence. Lo importante es que no subestimes los riesgos y asegures tus activos y tus datos, cuanto antes. Que la próxima vez que nos contactes, sea para hacer crecer tus ventas, no para recuperar una cuenta perdida.
Abrazo, estamos.