Roban la cuenta de iTunes a mi hermana y usan su tarjeta para hacer compras

Mi hermana es una de esas personas que se loguea alegremente para mirar el correo en cualquier ordenador. Por eso tampoco me extrañó mucho que esta mañana (ahora mismo está en Alcalá pasando unos días) me comentara que le habían llegado un par de pagos de la iTunes store por cosas que no había comprado. En concreto tenía un pago de un euro de hace un par de semanas y otro de 28 euros del jueves pasado. El caso es que entre mi hermano, ella y yo estuvimos «atando cabos» y llegamos a reconstruir lo que había ocurrido; así que os lo comento aquí para que no os ocurra lo mismo que a ella:

Como os decía, mi hermana no tiene reparos a la hora de hacer login en cualquier ordenador para mirar el correo; siendo desde mi punto de vista una práctica muy poco recomendable tal y como os comenté hace ya unos meses. Obviamente a ella también le comenté este asunto en su momento pero, como mucha gente, no creía que fuera a pasar nada (y ya sabéis que nunca pasa nada… hasta que pasa). No sé si en aquel momento pensaría que era un poco exagerado en cuanto a medidas de seguridad a la hora de navegar por Internet; pero el caso es que al final parece que algo de razón tengo.

El problema es que mi hermana no sólo se saltó mi regla básica de no hacer login más que en ordenadores propios; sino que además tenía la misma contraseña en todos sitios, de modo que el agujero de seguridad era bastante grande. La cosa es que en alguno de los ordenadores desde los que consultó el correo alguna vez debía de haber un troyano de tipo keylogger que, sin que nos demos cuenta, se dedica a mandar todo lo tecleado a una dirección de Internet, de tal modo que no tiene ninguna ciencia descubrir el nombre de usuario y la contraseña de la persona que está utilizándolo.

Pues bien, una vez que la persona recibió los datos de mi hermana se ve que aprovechó para entrar a su correo y al ver que tenía cuenta en la iTunes store (suponemos que leyó algún correo remitido por Apple) intentó meterse allí empleando los mismos datos de acceso de la cuenta de email para ver si «sonaba la flauta». Y puesto que la contraseña para ambos sitios era la misma, a partir de ese momento pudo hacer y deshacer a voluntad todo lo que quiso; algo especialmente peligroso si tenemos en cuenta que toda cuenta de iTunes store va asociada a una tarjeta bancaria (si no, no se puede crear dicha cuenta).

Lo primero que hizo el ladrón fue cambiar la dirección de email asociada con la cuenta de la iTunes store por una con el mismo nombre de usuario pero asociada a una sospechosa web China, de modo que a partir de ese momento todas las facturas de las compras realizadas ahí irían al mail de esa persona en lugar del de mi hermana. De ese modo, a no ser que ella mirara los movimientos de la cuenta bancaria, no se daría cuenta de que alguien estaba haciendo compras con su cuenta. Además, como es lógico, también cambió la contraseña de acceso para así hacerla perder el control por completo de su propia cuenta de iTunes.

Tal y como os comenté al principio, el ladrón hizo dos pagos con la cuenta una vez robada: uno de un euro (suponemos que para comprobar que tenía acceso) y luego unos días después otro por valor de 28 euros. Ya sé que no es una gran suma, pero daos cuenta de que es muy lógico actuar así por parte del ladrón. Si tenemos la nómina y varios recibos domiciliados en la cuenta, entre los movimientos de cada mes un pago de unos treinta euros de vez en cuando se nos puede pasar completamente desapercibido. De hecho, si no llega a ser porque se metió en la web del banco y miró el extracto de su cuenta muy posiblemente ni se hubiera dado cuenta.

Obviamente ese tío no va a salir de pobre con esos 28 euros, pero pensad que si todos los días fusila alguna que otra cuenta y se dedica a hacer compras por importes similares (que de algún modo luego recibirá en dinero contante y sonante; aunque eso no sé cómo lo llevará a cabo) en un par de meses puede juntar una suma importante. Es decir, que como se suele decir: «Grano no hace granero, pero ayuda al compañero».

Lo que hemos hecho para solucionar el tema es llamar al banco y comentarles esto mismo, anulando al momento la tarjeta de mi hermana. Dentro de unos días le llegará otra con un número diferente, de tal modo que a partir de este momento el ladrón no podrá comprar nada más en la iTunes store usando la cuenta de mi hermana; pero aun así me temo que los 29 euros que le han robado no va a poder recuperarlos. De todos modos, el lunes llamará a Apple para comentar el caso (la atención al cliente sólo funciona de lunes a viernes) para ver si se puede hacer algo más.

Cómo evitar este tipo de fraudes

Para evitar que os suceda algo así, os remito a lo que aconsejé en la entrada reseñada anteriormente sobre cómo navegar con seguridad en Internet y que se resume en no mirar el correo más que en ordenadores de confianza y tener una contraseña para cada sitio en el que estemos registrados. No hace falta que sean contraseñas completamente distintas; pero sí que es una buena idea tener una «raíz común» en todas ellas y luego añadir un sufijo diferente para cada web.

Por ejemplo, podemos tener como raíz una combinación extraña de letras y números (por ejemplo 3498crynjarv88) y luego para cada sitio añadir algo relacionado pero no excesivamente sencillo de adivinar. Podemos usar buzoneo para el email, amigotes para Facebook, piopio para Twitter… El caso es echarle un poco de imaginación. Del mismo modo, os recomiendo que desactivéis la pregunta secreta para recuperar las contraseñas olvidadas, porque representa un riesgo considerable para la integridad de nuestros datos.

Hay que reconocer que mi hermana ha tenido relativa buena suerte, porque aunque el cargo ha sido de 29 euros en total, también podría haber sido diez veces esa cantidad y el ladrón igualmente hubiera salido tan campante; de tal modo que haber aprendido esta lección sobre seguridad en Internet no le ha salido demasiado caro dentro de lo que cabe. En cualquier caso, tentar a la suerte no es una buena idea, así que mejor os recomiendo extremar las precauciones y siempre actuar con lógica en todo aquello relacionado con los datos personales en Internet.