SHIELD

Identidad y cuentas

Su dirección de correo es su pasaporte digital

Por qué el correo principal es la raíz de cualquier compromiso, y cómo endurecer su acceso sin bloquearse uno mismo.

Publicado el 17 min de lectura General

Última revisión:

Candado digital sobre fondo de código

Un directivo me tiende su teléfono, orgulloso de su nuevo gestor de contraseñas. Bóveda cerrada, contraseñas únicas de 24 caracteres por todas partes, perfecto. Le pregunto cómo accede a esa bóveda si pierde el teléfono. «Restablecimiento por correo.» ¿Y su correo, cómo está protegido? «Contraseña y SMS.» En una sola frase acababa de explicarme que todo su arsenal descansaba sobre un buzón de Gmail defendido por un código de seis cifras enviado a una tarjeta SIM clonable. Tomé su número y, en cuarenta minutos de búsqueda pública, ya tenía su fecha de nacimiento, su domicilio y el nombre de su operador. Todo lo necesario para llamar al servicio de atención al cliente en su lugar.

Angle de lecture

La trampa habitual

El discurso dominante clasifica su dirección de correo en la categoría «contacto». Una línea en una tarjeta de visita, un campo de formulario, algo que se da sin pensar. Es falso, y es el error de planteamiento que estructura todo lo demás. Su dirección de correo principal no es un punto de contacto: es la llave maestra de su vida digital. Cada servicio en el que está registrado ofrece un botón de «contraseña olvidada», y ese botón envía un enlace de restablecimiento a ese correo. Quien controla su bandeja de entrada no roba una cuenta: las roba todas, en cascada, en el orden que le apetezca.

El segundo reflejo que me oponen es la confianza en el proveedor. «Estoy en Gmail, es Google, tienen a los mejores ingenieros de seguridad del mundo.» Es cierto, y es irrelevante. Google protege muy bien su infraestructura contra las intrusiones dirigidas contra Google. No le protege a usted contra un ataque que reutiliza sus propias credenciales, contra un restablecimiento desencadenado por su número de teléfono secuestrado, ni contra usted mismo cuando hace clic en un enlace falso. La robustez de una cuenta de correo no se mide por la calidad del proveedor, sino por la robustez del eslabón más débil entre sus métodos de acceso y de recuperación. Y ese eslabón, en el 90 % de los casos que veo, es la recuperación por SMS o por una dirección secundaria olvidada.

Tercera idea preconcebida, la más persistente: «He activado la doble autenticación, estoy tranquilo.» La doble autenticación no es una casilla binaria. Un código SMS y una llave física FIDO2Estándar de autenticación fuerte mediante clave criptográfica de hardware, resistente al phishing. llevan el mismo nombre comercial —«2FA»— y ofrecen niveles de protección que no tienen nada que ver. Peor aún: la mayoría de la gente activa un método fuerte mientras deja abierto un método de recuperación débil. El atacante nunca ataca la puerta blindada cuando la ventana está entreabierta. Ha puesto una llave YubiKeyClave de autenticación hardware de Yubico, compatible con FIDO2/WebAuthn, OTP, PIV, OpenPGP. en su cuenta, enhorabuena, pero ha mantenido «recibir un código por SMS si no tengo mi llave» como opción de respaldo. No ha asegurado nada en absoluto. Solo ha desplazado el punto de entrada.

Existe una cuarta creencia, más discreta, que merece ser nombrada porque paraliza la acción: el miedo a bloquearse uno mismo. «Si endurezco demasiado mi correo, acabaré encerrado fuera, perderé el acceso, ya no podré conectarme cuando viaje.» Este temor es legítimo —he visto a gente bloquearse para siempre por falta de copia de seguridad— pero suele servir de excusa para no hacer nada y conservar los métodos débiles «por comodidad». El buen diseño no consiste en elegir entre seguridad y accesibilidad. Consiste en sustituir una resiliencia frágil, basada en canales atacables como el SMS, por una resiliencia robusta, basada en la redundancia de objetos que usted posee. No se elimina la posibilidad de recuperar la cuenta: se hace imposible de secuestrar por un tercero, manteniéndola accesible para uno mismo. De eso se trata, y es factible en una tarde.

El inventario real: lo que su correo desbloquea de verdad

Haga el ejercicio con honestidad. Abra su buzón principal, vaya a la búsqueda y teclee «bienvenido», «confirme su cuenta», «contraseña». Verá desfilar el mapa completo de su existencia digital: banco, hacienda, seguridad social, operador de telecomunicaciones, compañía de energía, plataformas de reserva, cuentas profesionales, redes sociales, suscripciones, servicios en la nube donde duermen sus documentos. Cada uno de estos servicios considera su dirección como la prueba última de identidad. El correo no es una cuenta entre otras: es la cuenta raíz, aquella desde la cual se regeneran todas las demás.

Ahora el modelo de amenaza, en concreto. El vector número uno no es el pirateo sofisticado de la NSA, es la fuga de datos en un servicio de terceros donde usó esa misma dirección. Cuando un sitio de comercio cualquiera sufre un volcado de datos —y ocurre constantemente, Have I Been Pwned cataloga miles de millones de credenciales expuestas— su dirección de correo se filtra con ellos, a menudo acompañada de una contraseña, en claro o débilmente cifrada. El atacante no se complica: toma ese par usuario/contraseña y lo reproduce automáticamente en Gmail, Outlook, iCloud, los bancos. Es el credential stuffing. Si ha reutilizado la contraseña, se acabó. Si no la ha reutilizado pero su dirección es conocida, el atacante sabe al menos qué puerta atacar, y pasa al phishing dirigido.

El segundo vector es la recuperación de cuenta secuestrada. Su correo acepta restablecer su propio acceso mediante un número de teléfono. Ese número, un atacante puede conseguirlo por SIM swappingAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia.: llama a su operador, se hace pasar por usted con tres datos públicos, y consigue trasladar su número a su tarjeta SIM. A partir de ahí, los SMS de recuperación le llegan a él. Princeton probó cinco operadores estadounidenses importantes: todos fallaban frente a ingeniería social básica en la mayoría de los casos. El TOTPCódigo de 6 dígitos generado cada 30 segundos por una app (Google Authenticator, Authy, etc.). por SMS comparte la misma fragilidad de fondo —el canal telefónico nunca fue diseñado para transportar secretos de autenticación.

El tercer vector se olvida sistemáticamente: la dirección de recuperación secundaria. Configuró su Gmail hace doce años, e indicó como dirección de respaldo una vieja cuenta de Yahoo o Hotmail que ya no usa, cuya contraseña ha olvidado, y que no tiene ninguna protección. Esa dirección fantasma es una puerta trasera abierta de par en par. Si un atacante toma su control —y una cuenta abandonada de quince años es trivial de recuperar— restablece su correo principal por esa vía, sin tocar jamás su contraseña actual ni su 2FA. El eslabón débil no está donde usted mira.

El cuarto vector es el más moderno y el más inquietante: el phishing en tiempo real que elude el segundo factor. Durante mucho tiempo se vendió la 2FA como una defensa absoluta contra el engaño. Ya no es cierto. Kits de ataque llave en mano —Evilginx, Modlishka y sus derivados— funcionan como proxy inverso: interponen una página de inicio de sesión clonada entre usted y el servicio real. Usted teclea su usuario, su contraseña, y luego su código TOTPCódigo de 6 dígitos generado cada 30 segundos por una app (Google Authenticator, Authy, etc.). o valida la notificación en su teléfono. Todo se retransmite en directo hacia el servidor real, y el atacante captura la cookie de sesión una vez autenticado. Entra entonces en su buzón sin haber necesitado jamás conocer de forma duradera su contraseña ni su código —ha robado la sesión entera. Contra este ataque, ni el SMS, ni el TOTP, ni la notificación push protegen. Solo FIDO2 resiste, porque la verificación del dominio está inscrita en el protocolo y no depende de la vigilancia del usuario.

El quinto vector, por último, es usted mismo, cansado. La fatiga MFA —el hecho de bombardear a un objetivo con notificaciones push de aprobación hasta que acaba pulsando «sí» para que cesen las solicitudes— ha permitido compromisos sonados en los últimos años, incluso en empresas tecnológicas de primer nivel. Un atacante que ya posee su contraseña, filtrada en otro lugar, desencadena una conexión a las 3 de la madrugada, luego otra, luego diez. A la undécima, medio dormido, usted aprueba para recuperar el silencio. El método push «aprobar / rechazar» tiene exactamente este defecto: traslada la decisión de seguridad a un humano exhausto. FIDO2, de nuevo, no se presta a este juego: no se puede «aprobar por hartazgo» una conexión sobre un dominio que la llave se niega a firmar.

La jerarquía de recuperación que nadie mira

Antes de endurecer nada, hay que comprender una asimetría que los proveedores nunca destacan: la seguridad de una cuenta no es la de su método de conexión más fuerte, sino la de su método de recuperación más débil. Puede cerrar la puerta de entrada con una cerradura de tres puntos; si la ventana de la cocina queda abierta, su nivel de seguridad real es la ventana. Los atacantes lo saben perfectamente y nunca se molestan en forzar la cerradura fuerte. Buscan la ventana.

Ahora bien, las cadenas de recuperación son precisamente el punto ciego. Todo el mundo audita «¿he activado la 2FA?». Casi nadie audita «¿por cuántos caminos diferentes puedo restablecer esta cuenta, y cuál es el más débil?». Haga el ejercicio sobre su correo principal: liste todos los métodos de recuperación configurados. ¿Un número de teléfono? Atacable por SIM swapping. ¿Una dirección de respaldo? Tan fuerte como la seguridad de esa dirección, a menudo una cuenta zombi. ¿Preguntas secretas —apellido de soltera de su madre, primer colegio—? Localizables en unos minutos de OSINTInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos. sobre sus redes sociales y los registros públicos. Cada uno de estos métodos es un punto de entrada paralelo que ignora por completo su llave física.

El principio de endurecimiento se vuelve entonces nítido: una puerta no se refuerza añadiendo cerrojos, se refuerza suprimiendo las puertas paralelas. Cada método de recuperación conservado debe ser al menos tan robusto como el método de conexión principal. Si no lo es, se suprime y se sustituye por un método de resiliencia que no pueda ser secuestrado a distancia: llaves físicas redundantes y códigos de recuperación en papel. Es menos cómodo que «hago clic en contraseña olvidada y recibo un SMS». Es también la única forma de no ofrecer a un desconocido el mismo botón.

El buen diseño: endurecer el acceso sin quedarse fuera

El buen enfoque cabe en tres movimientos, en este orden preciso. Primero, se trata el correo principal como un activo de nivel raíz, no como un contacto. En concreto: una contraseña larga, única, nunca reutilizada en ningún otro sitio, almacenada en un gestor de contraseñasAplicación que almacena y genera contraseñas únicas para cada servicio. —y sobre todo no memorizada por su navegador sincronizado en la nube del mismo proveedor que su correo. El principio es simple: ningún método de acceso al correo debe depender de un secreto almacenado en un sistema que a su vez se desbloquee con el correo. Se rompen las dependencias circulares.

Después, se instala una autenticación fuerte resistente al phishing, es decir, FIDO2Estándar de autenticación fuerte mediante clave criptográfica de hardware, resistente al phishing. físico. No una aplicación que genera códigos, ni un SMS: una llave física. La diferencia es estructural, no gradual. Una llave FIDO2 verifica criptográficamente el dominio con el que habla. Si está en la página de inicio de sesión real de su proveedor, se autentica; si un atacante le ha redirigido a una página clonada perfecta, la llave se niega —no porque haya olfateado el fraude, sino porque el protocolo hace la operación imposible. Es el único método donde el phishing no funciona, incluso cuando el usuario cae en la trampa. Es exactamente lo que recomienda el NIST en sus directrices de identidad digital: los factores resistentes al engaño son el objetivo a alcanzar para toda cuenta crítica.

El tercer movimiento, el que siempre se salta y que sin embargo marca la diferencia entre una seguridad real y un teatro de seguridad: se cierran metódicamente todas las puertas de recuperación débiles. Se suprime la recuperación por SMS. Se suprime o se endurece la dirección de respaldo. Se verifica que ningún «truco de emergencia para no bloquearse» eluda la llave física. Y como retirar la recuperación débil crea un riesgo real de quedarse fuera, se sustituye por verdadera resiliencia: dos llaves FIDO2 registradas simultáneamente —una encima, otra en un cajón cerrado con llave o en una caja fuerte— y los códigos de recuperación impresos en papel, almacenados sin conexión. Ya no depende de un canal atacable. Depende de un objeto físico que posee, duplicado para prevenir la pérdida.

Sobre la elección del proveedor, seamos claros: poco importa la marca mientras pueda activar FIDO2 físico y cerrar las recuperaciones débiles. Gmail lo permite. Outlook lo permite. ProtonSuite suiza de herramientas de privacidad (Mail, VPN, Drive, Pass, Calendar) con modelo de código abierto. lo permite y añade cifrado de extremo a extremo del lado del contenido —útil si su modelo de amenaza incluye la confidencialidad de los intercambios, no solo el dominio del acceso. Pero no confunda los dos problemas: el cifrado protege lo que hay en sus mensajes, la robustez de acceso protege quién puede entrar en el buzón. Un Proton «anónimo y cifrado» cuya recuperación pasa por un SMS sigue siendo trivial de secuestrar. El cifrado del contenido nunca ha impedido a nadie restablecer una cuenta por la ventana.

Una palabra sobre las passkeys, porque la pregunta vuelve cada vez. Una passkeyImplementación de FIDO2 para el gran público: clave de autenticación almacenada y sincronizada por Apple/Google/Microsoft. es una implementación de consumo de FIDO2: la misma criptografía asimétrica, la misma resistencia nativa al phishing. El matiz reside en el lugar de almacenamiento. Una passkey sincronizada en el llavero de iCloud o en el gestor de Google ofrece una excelente protección contra el phishing, pero su seguridad pasa a ser la de la cuenta de Apple o Google que la aloja —exactamente la cuenta que usted busca proteger con prioridad. Para el correo raíz y las cuentas realmente críticas, la passkey debe vivir en una llave física, no sincronizada, no en un llavero en la nube. Obtiene entonces la comodidad de la passkey con el aislamiento físico de la llave. Para las cuentas de segundo orden, la passkey sincronizada es un excelente compromiso y sigue siendo mil veces superior a un SMS. La consigna no cambia: la resistencia al phishing primero, la comodidad después, y nunca un canal de recuperación más débil que el factor principal.

Queda la mecánica concreta del cambio, porque es ahí donde la gente se equivoca o renuncia. El orden de las operaciones no es negociable. Primero se registran las dos llaves físicas, juntas, en la misma sesión —muchos registran la primera y dejan la segunda para «más tarde», y más tarde no llega nunca. Luego se generan y se imprimen los códigos de recuperación, que se guardan sin conexión, jamás en el propio gestor de contraseñas. Entonces se verifica, y solo entonces, que se puede conectar correctamente con cada una de las dos llaves. Una vez establecida esta resiliencia, y ni un minuto antes, se retiran los métodos débiles: se suprime el SMS, se endurece o se retira la dirección de respaldo, se desactivan las preguntas secretas. Desactivar el método antiguo antes de haber validado el nuevo es la receta del bloqueo definitivo. La seguridad bien llevada es siempre aditiva antes de ser sustractiva.

Lo que esto implica en concreto

Para usted, como persona

Tres acciones esta noche, menos de 100 € en total, que eliminan la práctica totalidad del riesgo real.

  1. Active una llave FIDO2 física en su correo principal — Compre dos llaves (YubiKey 5 o Nitrokey, 25 a 60 € la unidad), regístrelas las dos en su cuenta de correo ahora mismo, en la misma sesión. Una se queda en su llavero, la otra en un cajón cerrado con llave. Mientras las dos no estén registradas, no desactive nada más.
  2. Suprima la recuperación por SMS y el número de teléfono — Vaya a los ajustes de seguridad de su correo, retire el teléfono como método de recuperación y de segundo factor. Es lo que cierra la puerta del SIM swapping. Sustitúyalo por los códigos de recuperación de un solo uso, que imprime y guarda sin conexión.
  3. Audite su dirección de respaldo y pase su dirección por Have I Been Pwned — Verifique qué dirección secundaria recupera su buzón principal. Si es una vieja cuenta olvidada, retírela de la lista o asegúrela al mismo nivel. Teclee su dirección en haveibeenpwned.com: si aparece en fugas, cambie inmediatamente la contraseña en todos los sitios donde la hubiera reutilizado.

Para usted, CISO / Dirección de TI / dirección

1. El correo corporativo no le protege a usted, protege a la organización. Su dirección nombre.apellido@empresa.com la administra su departamento de TI, que posee un acceso delegado, puede restablecer su contraseña, leer sus mensajes en caso de investigación interna y aprovisionar un acceso a su buzón sin su consentimiento individual. Es legítimo desde el punto de vista de la gobernanza, pero significa que su correo profesional no es un secreto que le pertenezca. Consecuencia directa: para los asuntos realmente sensibles —una operación de M&A en curso, un litigio que implique a la empresa, la negociación de su propia salida— un buzón fuera del tenant corporativo, bajo su control exclusivo con FIDO2 físico, no es paranoia, es una medida de protección individual defendible.

2. El SSO corporativo concentra el riesgo en la cuenta raíz. Cuando todo pasa por el SSOMecanismo que permite autenticarse una vez para acceder a varias aplicaciones. y el IAMGestión centralizada de identidades y accesos a los recursos., la identidad primaria se convierte en el punto único de fallo: comprometerla es abrir todo el sistema de información de un golpe. Consecuencia directa: las cuentas con privilegios y las cuentas de dirección deben imponer FIDO2 resistente al phishing sin ningún método de respaldo débil, y los flujos de recuperación de esas cuentas deben pasar por un procedimiento humano verificado, jamás por un autoservicio SMS explotable por ingeniería social en el servicio de soporte.

3. La recuperación es su punto ciego de cumplimiento. Audita las contraseñas y la 2FA, jamás las cadenas de recuperación. Y es por ahí por donde pasan los verdaderos compromisos, incluido el fraude al CEO que a menudo arranca con una toma de control del buzón de un asistente o asistenta de dirección. Consecuencia directa: integre la auditoría de los métodos de recuperación —SMS residual, direcciones de respaldo, preguntas secretas— en su revisión de accesos, y forme al servicio de soporte para rechazar los restablecimientos sin verificación de identidad fuerte.

Errores que se ven constantemente

  • Poner una llave FIDO2 fuerte y conservar el SMS «por si acaso». El atacante siempre toma el camino más débil. El método de respaldo débil anula el método principal fuerte. Si conserva el SMS, no tiene FIDO2, tiene SMS con una opción decorativa.
  • Una sola llave física, ninguna copia de seguridad. Pierde la llave, se cae al inodoro, se rompe —y se queda fuera de su propia vida digital. Dos llaves, siempre, registradas el mismo día, almacenadas por separado.
  • Reutilizar la contraseña del correo en otros sitios. Una sola fuga en un servicio de terceros, y el credential stuffing derriba su correo principal sin ninguna sofisticación. La contraseña del correo raíz solo debe existir para el correo.
  • Olvidar la dirección de recuperación secundaria. La cuenta zombi de 2009 que recupera su buzón de 2026. La seguridad de una cuenta es la de su cadena de recuperación más débil, no la de su factor más fuerte.
  • Confundir cifrado del contenido y robustez de acceso. Pagar 100 €/año por un correo «cifrado y anónimo» cuya recuperación pasa por SMS. Ha protegido el contenido y ha dejado la cerradura abierta.
  • Almacenar los códigos de recuperación en el propio gestor de contraseñas desbloqueado por el correo. Dependencia circular: si uno cae, todo cae. Los códigos de recuperación van en papel, sin conexión.

Checklist accionable

  • N1 Identificar con precisión cuál es su dirección de correo principal, la que recupera sus cuentas críticas
  • N1 Verificar su dirección en Have I Been Pwned y cambiar toda contraseña reutilizada tras una fuga
  • N1 Poner una contraseña larga y única en el correo principal, almacenada en un gestor dedicado
  • N2 Comprar dos llaves FIDO2 físicas y registrarlas ambas en el correo principal
  • N2 Suprimir la recuperación y el segundo factor por SMS en el correo principal
  • N2 Auditar y endurecer (o suprimir) la dirección de correo de recuperación secundaria
  • N2 Imprimir los códigos de recuperación de un solo uso y almacenarlos sin conexión, fuera del gestor
  • N3 Almacenar la llave FIDO2 de respaldo en un lugar físicamente separado de la llave principal
  • N3 Para los perfiles expuestos: aprovisionar un buzón sensible fuera del tenant corporativo bajo control exclusivo
  • N3 Implantar una revisión trimestral de las cadenas de recuperación, no solo de los factores de autenticación

Para profundizar

La jerarquía completa de los métodos de autenticación —del SMS rompible a la llave física— se detalla en el artículo sobre el MFA y la trampa de las copias de seguridad en la nube. Para comprender el vector SIM swapping que hace tan peligroso el SMS de recuperación, consulte el análisis dedicado. Las especificaciones de FIDO Alliance y las directrices NIST SP 800-63B sientan el marco técnico de referencia sobre los factores resistentes al phishing; las guías del INCIBE sobre autenticación de doble factor cuantifican y traducen estas recomendaciones al contexto español. Para verificar su propia exposición, Have I Been Pwned sigue siendo el punto de partida honesto.

Fuentes y lecturas complementarias

Artículos relacionados