En medio de usar un servicio en línea popular el otro día, noté una actividad curiosa. Mi uso fue desviado, mientras estaba interactuando con el servicio, hacia actividades que no eran (y no habrían sido) de mi elección. Este acceso se registró como proveniente de un iPhone, y no tengo un dispositivo así. La actividad hizo algunas adiciones (gratis) a mi cuenta.
Al principio no tenía ni idea de lo que estaba sucediendo. Pensé que podría ser un miembro de la familia usando un iPhone y "tomando prestadas" mis credenciales. Tomó algunas horas para establecer que no era, momento en el cual la actividad sospechosa había cesado, aunque los cambios realizados permanecían. Accedí a este servicio usando mis credenciales de Facebook. Para estar seguro, me desconecté tanto del servicio en cuestión como de Facebook y cambié ambas contraseñas a una fuerte y única.
Me he contactado con el proveedor de servicios, quien me dijo que "otro usuario" obtuvo acceso a mi cuenta y que hice lo correcto para cambiar mi contraseña. Se negaron a divulgar más detalles.
Sin embargo, es poco probable que esta infracción haya sido maliciosa debido al patrón de comportamiento. Específicamente:
- No se intentó cambiar la contraseña o el correo electrónico asociado con la cuenta.
- No se intentó utilizar el acceso de pago en la cuenta para comprar nada.
- El acceso a la cuenta se realizó a través de Facebook, y tampoco hubo ningún intento de cambiar mi correo electrónico o contraseña, ni tampoco hubo ninguna actividad sospechosa.
- Un tercer servicio estaba vinculado al sospechoso, que registra mi actividad allí. No se registró ninguna de las actividades sospechosas, que es la más peculiar.
- La actividad sospechosa cesó espontáneamente algunas horas antes de que cambiara las contraseñas.
Así que hay dos opciones posibles aquí. O alguien obtuvo mi contraseña para esta cuenta o este servicio tiene una falla de seguridad que puede llevar a compartir datos y actividades entre cuentas. Obviamente, cualquiera de las dos es alarmante y me gustaría saber cuál es.
¿Se puede tomar la falta de acciones maliciosas tomadas durante la violación como una indicación de que no fue un intento deliberado de piratería? ¿Qué otra posible razón habría para hacer un uso no malicioso de la cuenta de otra persona en un servicio público o no social?