Los métodos de ataque basados en la identidad representan uno de los mayores riesgos para los consumidores y las empresas al entrar en esta nueva década. Uno de los aspectos importantes de este riesgo está asociado a que una identidad, o un usuario, debe tener una única cuenta para muchas funciones diferentes. En términos sencillos, si una persona utiliza el mismo nombre de usuario y la misma cuenta de correo electrónico para todo a lo que accede, los riesgos de un ataque cibernético son mayores. Basándose en un ataque utilizando una sola cuenta, un ciberdelincuente puede reutilizar el mismo nombre de cuenta basado en una dirección de correo electrónico contra otros recursos y utilizar ataques de fragmentación y rellenado de credenciales para intentar acceder a una cuenta.
Fernando Fontao, gerente Regional de Canales para América Latina de BeyondTrust, señala: ‘Para cada usuario, recomendamos tener al menos cuatro direcciones de correo electrónico diferentes para todos los recursos a los que accede en Internet. El objetivo es mantener separada la correspondencia de los diferentes recursos y evitar un nombre de usuario de inicio de sesión basado en una dirección de correo electrónico diferente para la autenticación, en función del riesgo asociado al servicio al que se accede’.
La primera dirección de correo electrónico debe estar asociada a cualquier tipo de cuenta sensible. Estas pueden ser aplicaciones bancarias o financieras y deben tener una dirección de correo electrónico únicamente utilizada para la autenticación y acceso. Esto ayudará a determinar si cualquier correspondencia enviada a esta dirección es legítima o cualquier correo electrónico de suplantación de identidad enviado desde una cuenta diferente puede ser automáticamente descartado como falso.
La segunda dirección de correo electrónico sólo debe utilizarse para la correspondencia personal. Esto incluye cualquier tipo de correo electrónico que pueda ser intercambiado con miembros de la familia, amigos u otras actividades sociales. Esta dirección de correo electrónico nunca debe utilizarse como inicio de sesión (autenticación) para ninguna cuenta en Internet.
La tercera cuenta debe ser para el correo basura o las compras. Se clasifica el correo basura como un término muy amplio para los sitios web que pueden enviar con frecuencia ofertas de venta o spam no malicioso. El correo debería ser para todas las aplicaciones y sitios web que envían frecuentemente cupones, notificaciones de eventos, promociones de ventas u otros tipos de mercancía.
No se recomienda utilizar esta cuenta para ninguna otra actividad ni se recomienda utilizar esta dirección de correo electrónico para comprar en un sitio web. A menos que se trate de un sitio de comercio electrónico que se visite con frecuencia (entonces es una cuenta sensible ya que tiene el número de tarjeta de crédito), es clave considerar siempre comprar como «Invitado» para evitar que el sitio web almacene potencialmente las credenciales, número de tarjeta de crédito y dirección.
Por último, la cuarta dirección de correo electrónico debe utilizarse para cualquier correspondencia relacionada con la asistencia sanitaria, los impuestos, las facturas de servicios públicos u otra información oficial.
Aunque tener cuatro cuentas de correo electrónico puede parecer extremo, ayuda a separar los diferentes casos de uso que se podrá realizar para la correspondencia y la autenticación sensible en la web. Las aplicaciones modernas admiten fácilmente varias direcciones de correo electrónico para separar la correspondencia, como Microsoft Outlook, Gmail en un Android y Mail en un dispositivo Apple. Saber qué correo electrónico debe entrar en cada categoría ayudará a evitar el spam, los ataques de phishing u otros tipos de ataques de credenciales comprometidas que podrían llevar a que esta identidad se vea comprometida.